Az amerikai kiberbiztonsági és infrastruktúra-biztonsági ügynökség (CISA) hozzáadta a CVE-2022-36537 azonosító alatt jegyzett sebezhetőséget a “Known Exploited Vulnerabilities Catalog” listájához, miután a kiberbűnözők aktívan elkezdték kihasználni a hibát távoli kódfuttatásra (RCE).
A CVE-2022-36537 egy magas kockázati besorolású (CVSS v3.1: 7,5) biztonsági hiba, amely a ZK Framework 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 és 8.6.4.1 verzióit érinti, és lehetővé teszi a támadók számára, hogy érzékeny információkhoz férjenek hozzá egy speciálisan kialakított POST kérés küldésével az AuUploader komponensnek. A hibát tavaly fedezte fel Markus Wulftange, és a ZK 2022. május 05-én, a 9.6.2-es verzióval orvosolta.
A ZK egy nyílt forráskódú, Java nyelven írt Ajax webalkalmazás keretrendszer, amely lehetővé teszi, hogy minimális programozási ismeretekkel grafikus felhasználói felületeket lehessen létrehozni webalkalmazásokhoz. A ZK keretrendszert széles körben alkalmazzák mindenféle típusú és méretű projektben, így a hiba hatása is széleskörű lehet. A ZK keretrendszert használó termékek közül kiemelkedik a ConnectWise Recover 2.9.7 és korábbi verziója, valamint a ConnectWise R1SoftServer Backup Manager 6.16.3 és korábbi verziója.
A CISA a rendelkezésre álló biztonsági frissítések alkalmazásának határidejét 2023. március 20-ra tűzte ki, így a szövetségi ügynökségeknek nagyjából három hét áll rendelkezésükre, hogy reagáljanak a biztonsági kockázatra, és megfelelő intézkedéseket tegyenek hálózataik védelme érdekében.
A sebezhetőség felvétele az említett listára azután történt meg, hogy az NCC Group Fox IT csapata közzétett egy jelentést, amelyben leírta, hogy a hibát aktívan kihasználják a támadások során. Egy nemrégiben bekövetkezett incidensre adott válasz során kiderült, hogy a kiberbűnözők a hibát kihasználva kezdeti hozzáférést szereztek a ConnectWise R1Soft Server Backup Manager szoftverhez. A támadók ezután áttértek az R1Soft Backup Agenten keresztül csatlakoztatott downstream rendszerek irányítására, és egy backdoorral rendelkező rosszindulatú adatbázis drivert helyeztek el, amely lehetővé tette számukra, hogy parancsokat hajtsanak végre az adott R1Soft szerverhez csatlakoztatott összes rendszeren.
Ezen incidens alapján a Fox IT további vizsgálatokat végzett, és megállapította, hogy az R1Soft ellen 2022 novembere óta világszerte folynak kihasználási kísérletek. 2023. január 9-ig legalább 286 szerveren észlelték ezt a backdoort.
A javítatlan R1Soft Server Backup Manager telepítések elleni támadások végrehajtásához szükséges eszközök széles körben elérhetőek, ezért a rendszergazdáknak mindenképpen frissíteniük kell a legújabb verzióra.