CVE-2022-36537 é uma vulnerabilidade altamente grave no ZK Framework, que CISA (Agência de Segurança Cibernética e Infraestrutura) acabou de adicionar ao seu catálogo de exploração. Pelo visto, a vulnerabilidade foi aproveitada em estado selvagem em ataques que podem levar à recuperação de informações confidenciais por meio de solicitações especialmente criadas.
CVE-2022-36537 Detalhes
As versões afetadas são as seguintes: Estrutura ZK 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, e 8.6.4.1. De acordo com a Agência de Segurança, “esse tipo de vulnerabilidade é um vetor de ataque frequente para cibercriminosos e representa um risco significativo para a empresa federal”. Como resultado dessa exploração, CISA adicionou CVE-2022-36537 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas.
O que é ZK Framework?
ZK é um software de código aberto, Estrutura baseada em Java para desenvolver aplicativos da Web Ajax que permitem aos usuários criar interfaces gráficas de usuário sem amplo conhecimento de programação. Seu núcleo é um mecanismo Ajax orientado a eventos, apoiado por 123 XUL e 83 Componentes XHTML, e uma linguagem de marcação para projetar interfaces de usuário.
O ZK emprega uma metodologia centrada no servidor que permite que o mecanismo gerencie a sincronização de conteúdo de componentes e o canal de eventos entre clientes e servidores, ao mesmo tempo em que torna os códigos de encanamento Ajax transparentes para desenvolvedores de aplicativos da web.
A CISA afirmou que o ZK Framework é um framework Java de código aberto, e que essa vulnerabilidade pode afetar vários produtos, Incluindo ConnectWise Gerenciador de backup do servidor R1Soft, embora não se limite a isso.
CVE-2022-36537: Impacto e visão geral dos ataques
Em maio 2022, a vulnerabilidade foi corrigida em versões 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3, e 8.6.4.2. Contudo, em outubro 2022 A caçadora conseguiu armar a vulnerabilidade com uma prova de conceito (PoC) ignorar a autenticação, carregar um driver de banco de dados JDBC backdoored, e implantar ransomware em endpoints suscetíveis.
O Numen Cyber Labs, com sede em Cingapura, publicou seu próprio PoC em dezembro 2022, e encontrei mais de 4,000 Instâncias do Server Backup Manager expostas na Internet. Subseqüentemente, a vulnerabilidade foi explorada em massa, conforme relatado pela equipe de pesquisa Fox-IT do NCC Group na semana passada, levando a 286 servidores com um backdoor web shell.
Os EUA, Coreia do Sul, o Reino Unido, Canadá, Espanha, Colômbia, Malásia, Itália, Índia, e Panamá são os países mais afetados. a partir de fevereiro 20, 2023, 146 Os servidores R1Soft permanecem com backdoor. A Fox-IT também relatou que o adversário conseguiu exfiltrar arquivos de configuração VPN, informações de administração de TI, e outros documentos sensíveis durante o compromisso.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: