在威胁行为者开始在攻击中积极利用远程代码执行 (RCE) 漏洞后,美国网络安全和基础设施安全局 (CISA) 已将 CVE-2022-36537 添加到其“已知已利用漏洞目录”。
CVE-2022-36537 是影响 ZK 框架版本 9.6.1、9.6.0.1、9.5.1.3、9.0.1.2 和 8.6.4.1 的高危(CVSS v3.1:7.5)漏洞,使攻击者能够 通过向 AuUploader 组件发送特制的 POST 请求来访问敏感信息。
“ZK Framework AuUploader servlet 包含一个未指明的漏洞,该漏洞可能允许攻击者检索位于 Web 上下文中的文件的内容,”提到 CISA 对该漏洞的描述。
该缺陷于去年由 Markus Wulftange 发现,ZK 于 2022 年 5 月 5 日在 9.6.2 版本中解决。
ZK 是一个用 Java 编写的开源 Ajax Web 应用程序框架,使 Web 开发人员能够以最少的工作量和编程知识为 Web 应用程序创建图形用户界面。
ZK框架被广泛应用于各种类型和规模的项目中,因此该漏洞的影响广泛而深远。
使用 ZK 框架的著名产品示例包括 ConnectWise Recover,版本 2.9.7 及更早版本,以及 ConnectWise R1SoftServer Backup Manager,版本 6.16.3 及更早版本。
“这种类型的漏洞是恶意网络行为者的常见攻击媒介,对联邦企业构成重大风险” – CISA。
CISA 将应用可用安全更新的截止日期定为 2023 年 3 月 20 日,从而给联邦机构大约三周的时间来应对安全风险并采取适当的措施来保护其网络。
被积极利用
在 NCC Group 的 Fox-IT 团队发布了一份报告,描述了该漏洞是如何在攻击中被积极利用之后,将此漏洞添加到 CISA 的已知已利用漏洞目录中。
据 Fox-IT 报道,在最近的一次事件响应中,我们发现攻击者利用 CVE-2022-36537 获得了对 ConnectWise R1Soft Server Backup Manager 软件的初始访问权限。
然后,攻击者开始控制通过 R1Soft Backup Agent 连接的下游系统,并部署具有后门功能的恶意数据库驱动程序,使他们能够在连接到该 R1Soft 服务器的所有系统上执行命令。
基于该事件,Fox-IT 进一步调查发现,自 2022 年 11 月以来,全球范围内一直在进行针对 R1Soft 服务器软件的利用尝试,截至 2023 年 1 月 9 日,检测到至少有 286 台服务器运行此后门。
但是,利用该漏洞并不意外,因为 2022 年 12 月在 GitHub 上发布了多个概念验证 (PoC) 漏洞。
因此,针对未打补丁的 R1Soft Server Backup Manager 部署执行攻击的工具随处可见,因此管理员必须更新到最新版本。
如若转载,请注明出处:https://www.ozabc.com/it/535148.html