CISA предупреждает об активном использовании RCE-уязвимости ZK Java Framework

Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость CVE-2022-36537 в свой Каталог известных эксплуатируемых уязвимостей после того, как хакеры начали активно использовать этот недостаток для удаленного выполнения кода (RCE) в атаках.

CVE-2022-36537(CVSS v3.1: 7.5) затрагивает сервлеты ZK Framework AuUploader версий 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, 8.6.4.1 и позволяет злоумышленникам получить доступ к конфиденциальной информации путем отправки специально сформированного POST-запроса компоненту AuUploader.

Дефект был обнаружен в прошлом году Маркусом Вульфтанжем и устранен компанией ZK 5 мая 2022 года в версии 9.6.2 .

ZK – это фреймворк Ajax веб-приложений с открытым исходным кодом, написанный на Java, позволяющий веб-разработчикам создавать графические пользовательские интерфейсы для веб-приложений с минимальными усилиями и знаниями программирования. Фреймворк ZK широко используется в проектах всех типов и размеров, поэтому влияние дефекта широко и далеко идущее. Среди продуктов, использующих фреймворк ZK, можно отметить ConnectWise Recover и ConnectWise R1SoftServer Backup Manager.

Добавление этой уязвимости в каталог известных эксплуатируемых уязвимостей CISA произошло после того, как команда Fox-IT компании NCC Group опубликовала отчет , в котором описывается, как этот недостаток активно используется в атаках.

По данным Fox-IT, уязвимость позволила киберпреступнику получить первоначальный доступ к ПО ConnectWise R1Soft Server Backup Manager. Затем злоумышленник взял под контроль последующие системы, подключенные через R1Soft Backup Agent, и развернул вредоносный драйвер базы данных с функцией бэкдора, что позволило ему выполнять команды на всех системах, подключенных к этому серверу R1Soft.

Fox-IT обнаружила, что попытки эксплуатации уязвимости против серверного ПО R1Soft предпринимаются по всему миру с ноября 2022 года, и по состоянию на 9 января 2023 года было обнаружено не менее 286 серверов с бэкдором. Однако эксплуатация уязвимости была ожидаема, так как в декабре 2022 года на GitHub были опубликованы многочисленные PoC-эксплойты.

Таким образом, инструменты для проведения атак на непропатченные установки R1Soft Server Backup Manager широко доступны, поэтому администраторам крайне необходимо обновить их до последней версии.

Public Release.