CISA 提醒称黑客正在利用 ZK Java 框架中的RCE漏洞
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 将遭攻击者活跃利用的RCE漏洞 (CVE-2022-36537) 添加至“已知利用漏洞分类”表。
CVE-2022-36537 是一个高危漏洞(CVSS评分7.5),影响 ZK Framework 版本9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1,可使攻击者通过向AuUploader 组件发送特殊构造的POST请求访问敏感信息。
CISA 对该漏洞的说明是,“ZK Framework AuUploader 伺服小程序中包含一个未明确漏洞,可导致攻击者检索位于 web 上下文中文件的内容。”该漏洞由 Markus Wulftange 在去年发现,由 ZK 公司在2022年5月5日的版本9.6.2中修复。
ZK 是用Java 编写的开源 Ajax Web 应用框架,可使web开发人员通过最小的投入和编程知识,为web应用创建用户图形界面。ZK框架广泛应用于所有类型和规模的项目中,应该该漏洞影响广泛且深远。使用ZK框架的产品案例包括ConnectWise Recover版本2.9.7及更早版本以及ConnectWise R1SoftServer Backup管理器版本6.16.3及更早版本。
CISA提到,“该漏洞类型是恶意网络人员的常见攻击向量,为联邦企业造成重大风险。”CISA 要求联邦机构在2023年3月20日之前应用安全更新,采取适当措施保护网络安全。
已遭活跃利用
NCC 集团Fox-IT 团队发布报告,说明了该漏洞如何遭活跃利用。该团队指出,在最近的一次事件响应中,发现某攻击者利用CVE-2022-36537获得对 ConnectWise R1Soft Server 备份管理器软件的初始访问权限。攻击者随后控制通过R1Soft Backup Agent 控制所连接的下游系统,并部署具有后门功能的恶意数据库驱动,从而在连接该R1Soft 服务器的所有系统上执行命令。
Fox-IT 基于该事件进一步调查后发现,自2022年11月起,R1Soft 服务器软件就遭到大规模利用尝试,截止到2023年1月9日,检测到至少有286台服务器运行该后门。
不过该漏洞遭利用并不意外,因为自2022年12月起,GitHub 上就发布了多份PoC 利用。因此针对未修复 R1Soft Server 备份管理器部署的利用工具已广泛出现,管理员应尽快更新至最新版本。
https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-zk-java-framework-rce-flaw/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。