CVE-2022-36537 è una vulnerabilità molto grave nel framework ZK, quel CIAS (Agenzia per la sicurezza informatica e delle infrastrutture) appena aggiunto al suo catalogo di exploit. Apparentemente, la vulnerabilità è stata sfruttata in natura in attacchi che possono portare al recupero di informazioni sensibili tramite richieste appositamente predisposte.
CVE-2022-36537 Dettagli
Le versioni interessate sono le seguenti: Quadro ZK 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, e 8.6.4.1. Secondo l'agenzia di sicurezza, "questo tipo di vulnerabilità è un vettore di attacco frequente per gli attori informatici malintenzionati e rappresenta un rischio significativo per l'impresa federale". Come risultato di questo sfruttamento, CISA ha aggiunto CVE-2022-36537 al suo Catalogo delle vulnerabilità sfruttate note.
Cos'è ZK Framework?
ZK è un open-source, Framework basato su Java per lo sviluppo di applicazioni Web Ajax che consentono agli utenti di creare interfacce utente grafiche senza una conoscenza approfondita della programmazione. Il suo nucleo è un meccanismo Ajax guidato dagli eventi, sostenuta da 123 XUL e 83 Componenti XHTML, e un linguaggio di markup per la progettazione di interfacce utente.
ZK utilizza una metodologia incentrata sul server che consente al motore di gestire la sincronizzazione dei contenuti dei componenti e il pipe-lining degli eventi tra client e server, rendendo anche i codici idraulici Ajax trasparenti per gli sviluppatori di applicazioni web.
CISA ha affermato che ZK Framework è un framework Java open source, e che questa vulnerabilità può interessare più prodotti, Compreso ConnectWise Gestore di backup del server R1Soft, anche se non limitato ad esso.
CVE-2022-36537: Impatto e panoramica degli attacchi
A maggio 2022, la vulnerabilità è stata corretta nelle versioni 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3, e 8.6.4.2. Tuttavia, nel mese di ottobre 2022 Huntress è stata in grado di armare la vulnerabilità con una prova di concetto (PoC) per bypassare l'autenticazione, caricare un driver di database JDBC con backdoor, e distribuire ransomware su endpoint sensibili.
Numen Cyber Labs, con sede a Singapore, ha poi pubblicato il proprio PoC a dicembre 2022, e ho trovato più di 4,000 Istanze di Server Backup Manager esposte su Internet. Successivamente, la vulnerabilità è stata oggetto di sfruttamento di massa, come riportato dal team di ricerca Fox-IT di NCC Group la scorsa settimana, che porta a 286 server con una backdoor web shell.
Gli Stati Uniti, Corea del Sud, Regno Unito, Canada, Spagna, Colombia, Malaysia, Italia, India, e Panama sono i paesi più colpiti. A partire da febbraio 20, 2023, 146 I server R1Soft rimangono backdoor. Fox-IT ha anche riferito che l'avversario è stato in grado di esfiltrare i file di configurazione della VPN, Informazioni sull'amministrazione informatica, e altri documenti sensibili durante la compromissione.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: