美国网络安全与基础设施安全局(CISA)在威胁行为者开始积极利用远程代码执行(RCE)漏洞进行攻击后,将CVE-2022-36537添加到其“已知已利用漏洞目录”中。
CVE-2022-36537是一个高严重程度(CVSS v3.1: 7.5)漏洞,影响ZK框架版本9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1,使攻击者能够通过向AuUploader组件发送特制的POST请求来访问敏感信息。
“ZK Framework AuUploader servlet包含一个不明漏洞,可以允许攻击者检索位于web上下文中的文件的内容,”CISA提到该漏洞时的描述。
该漏洞去年由Markus Wulftange发现,并于2022年5月05日由ZK解决,版本为9.6.2。
ZK是一个用Java编写的开源Ajax Web应用程序框架,使Web开发人员能够以较少的工作量和编程知识为Web应用程序创建图形用户界面。
ZK框架被广泛应用于各种类型和规模的项目中,因此该缺陷的影响广泛而深远。
使用ZK框架的值得注意的示例包括ConnectWise Recover(2.9.7及更早版本)和ConnectWise R1SoftServer Backup Manager(6.16.3及更早版本)。
积极利用
在NCC Group的Fox-IT团队发布了一份报告,描述了该漏洞如何在攻击中被积极利用之后,该漏洞被添加到CISA的已知利用漏洞目录中。
根据Fox-IT的说法,在最近的一次事件响应中,发现攻击者利用CVE-2022-36537获得了ConnectWise R1Soft服务器备份管理器软件的初始访问权。
然后,攻击者转向控制通过R1Soft备份代理连接的下游系统,并部署了具有后门功能的恶意数据库驱动程序,使他们能够在连接到该R1Soft服务器的所有系统上执行命令。
根据该事件,Fox-IT进一步调查发现,自2022年11月以来,全球范围内针对R1Soft服务器软件的利用尝试一直在进行,截至2023年1月9日,至少有286台服务器运行该后门。
然而,该漏洞的利用并不意外,因为2022年12月在GitHub上发布了多个概念证明(PoC)漏洞。
因此,对未打补丁的R1Soft服务器备份管理器部署执行攻击的工具随处可见,管理员需要尽快将其更新到最新版本。
调查显示,未修补的安全漏洞在黑客论坛中关注度依旧很高,这就意味着那些没有按时更新软件漏洞补丁的企业被黑客攻击的潜在风险很大。尤其黑客不断扫描网络中存在的漏洞准备发起攻击,软件存在安全漏洞就意味着给黑客以可乘之机。
建议企业除了安装防护软件之外,及时检测、发现网络系统中的薄弱环节,并进行维护和修补,减小被黑客盯上的概率。同时,对于软件开发企业,不应只关注在软件开发的功能和效率,同时要将安全问题融入至开发周期当中,尤其经常被忽略的代码缺陷等问题。在静态代码安全检测中,不但可以查找、定位代码的缺陷,在编码期间及时修改,同时也能检测出一些不需要运行即可发现的问题,如XXS,注入漏洞等。
来源:
