02.03.2023 | CISA предупреждает об активном использовании RCE-уязвимости ZK Java Framework |
Агентство по кибербезопасности и защите инфраструктуры США ( CISA ) добавило уязвимость CVE-2022-36537 в свой Каталог известных эксплуатируемых уязвимостей после того, как хакеры начали активно использовать этот недостаток для удаленного выполнения кода ( RCE ) в атаках. CVE-2022-36537 (CVSS v3.1: 7.5) затрагивает сервлеты ZK Framework AuUploader версий 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, 8.6.4.1 и позволяет злоумышленникам получить доступ к конфиденциальной информации путем отправки специально сформированного POST-запроса компоненту AuUploader. Дефект был обнаружен в прошлом году Маркусом Вульфтанжем и устранен компанией ZK 5 мая 2022 года в версии 9.6.2 . ZK — это фреймворк Ajax веб-приложений с открытым исходным кодом, написанный на Java, позволяющий веб-разработчикам создавать графические пользовательские интерфейсы для веб-приложений с минимальными усилиями и знаниями программирования. Фреймворк ZK широко используется в проектах всех типов и размеров, поэтому влияние дефекта широко и далеко идущее. Среди продуктов, использующих фреймворк ZK, можно отметить ConnectWise Recover и ConnectWise R1SoftServer Backup Manager. Добавление этой уязвимости в каталог известных эксплуатируемых уязвимостей CISA произошло после того, как команда Fox-IT компании NCC Group опубликовала отчет , в котором описывается, как этот недостаток активно используется в атаках. По данным Fox-IT, уязвимость позволила киберпреступнику получить первоначальный доступ к ПО ConnectWise R1Soft Server Backup Manager. Затем злоумышленник взял под контроль последующие системы, подключенные через R1Soft Backup Agent, и развернул вредоносный драйвер базы данных с функцией бэкдора, что позволило ему выполнять команды на всех системах, подключенных к этому серверу R1Soft. Fox-IT обнаружила, что попытки эксплуатации уязвимости против серверного ПО R1Soft предпринимаются по всему миру с ноября 2022 года, и по состоянию на 9 января 2023 года было обнаружено не менее 286 серверов с бэкдором. Однако эксплуатация уязвимости была ожидаема, так как в декабре 2022 года на GitHub были опубликованы многочисленные PoC-эксплойты. Таким образом, инструменты для проведения атак на непропатченные установки R1Soft Server Backup Manager широко доступны, поэтому администраторам крайне необходимо обновить их до последней версии. |
Проверить безопасность сайта