CVE-2022-36537 is een zeer ernstige kwetsbaarheid in het ZK Framework, dat CISA (Agentschap voor cyberbeveiliging en infrastructuurbeveiliging) zojuist toegevoegd aan de exploit-catalogus. Blijkbaar, de kwetsbaarheid is in het wild gebruikt bij aanvallen die kunnen leiden tot het ophalen van gevoelige informatie via speciaal vervaardigde verzoeken.
CVE-2022-36537 Details
Getroffen versies zijn de volgende: ZK-framework 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, en 8.6.4.1. Dat meldt de Veiligheidsdienst, "Dit type kwetsbaarheid is een frequente aanvalsvector voor kwaadwillende cyberactoren en vormt een aanzienlijk risico voor de federale onderneming." Als gevolg van deze exploitatie, CISA heeft CVE-2022-36537 toegevoegd aan zijn Catalogus van bekende uitgebuite kwetsbaarheden.
Wat is ZK-framework?
ZK is een open-source, Op Java gebaseerd framework voor het ontwikkelen van Ajax-webapplicaties waarmee gebruikers grafische gebruikersinterfaces kunnen maken zonder uitgebreide programmeerkennis. De kern is een gebeurtenisgestuurd Ajax-mechanisme, ondersteund door 123 XUL en 83 XHTML-componenten, en een opmaaktaal voor het ontwerpen van gebruikersinterfaces.
ZK maakt gebruik van een servergerichte methodologie waarmee de engine de contentsynchronisatie van componenten en de event-pipelining tussen clients en servers kan beheren, terwijl ook Ajax-sanitaircodes transparant worden gemaakt voor ontwikkelaars van webapplicaties.
CISA verklaarde dat het ZK Framework een open source Java-framework is, en dat deze kwetsbaarheid meerdere producten kan beïnvloeden, Inclusief ConnectWise R1Soft Server Back-up Manager, hoewel niet daartoe beperkt.
CVE-2022-36537: Impact en overzicht van aanvallen
In mei 2022, het beveiligingslek is in versies gepatcht 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3, en 8.6.4.2. Echter, in oktober 2022 Huntress was in staat om de kwetsbaarheid te bewapenen met een proof-of-concept (PoC) authenticatie te omzeilen, upload een backdoored JDBC-databasestuurprogramma, en ransomware inzetten op gevoelige endpoints.
Het in Singapore gevestigde Numen Cyber Labs publiceerde vervolgens in december hun eigen PoC 2022, en vond meer dan 4,000 Server Backup Manager-exemplaren zichtbaar op internet. Hierop volgend, de kwetsbaarheid kwam onder massale uitbuiting zoals vorige week gemeld door het Fox-IT-onderzoeksteam van NCC Group, leiden naar 286 servers met een webshell-backdoor.
De VS, Zuid-Korea, Brittannië, Canada, Spanje, Colombia, Maleisië, Italië, India, en Panama zijn de meest getroffen landen. Vanaf februari 20, 2023, 146 R1Soft-servers blijven backdoored. Fox-IT heeft ook gemeld dat de tegenstander VPN-configuratiebestanden kon exfiltreren, Informatie over IT-beheer, en andere gevoelige documenten tijdens het compromis.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: