Ngày 28 tháng 2 năm 2023Ravie Lakshmanan Bảo mật phần mềm / Tấn công mạng
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng nghiêm trọng cao ảnh hưởng đến ZK Framework vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) dựa trên bằng chứng về hoạt động khai thác.
Được theo dõi là CVE-2022-36537 (điểm CVSS: 7,5), sự cố này ảnh hưởng đến các phiên bản ZK Framework 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 và 8.6.4.1, đồng thời cho phép các tác nhân đe dọa truy xuất thông tin nhạy cảm thông qua các yêu cầu được chế tạo đặc biệt.
CISA cho biết: “Khung ZK là một khung công tác Java mã nguồn mở. “Lỗ hổng này có thể ảnh hưởng đến nhiều sản phẩm, bao gồm nhưng không giới hạn ở ConnectWise R1Soft Server Backup Manager.”
Lỗ hổng đã được vá vào tháng 5 năm 2022 trong các phiên bản 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3 và 8.6.4.2.
Như Huntress đã chứng minh trong một bằng chứng khái niệm (PoC) vào tháng 10 năm 2022, lỗ hổng bảo mật có thể được vũ khí hóa để bỏ qua xác thực, tải trình điều khiển cơ sở dữ liệu JDBC có cửa sau lên để giành quyền thực thi mã và triển khai phần mềm tống tiền trên các điểm cuối dễ bị tấn công.
Numen Cyber Labs có trụ sở tại Singapore, ngoài việc xuất bản một PoC của riêng mình vào tháng 12 năm 2022, còn cảnh báo rằng họ đã tìm thấy hơn 4.000 phiên bản Trình quản lý sao lưu máy chủ bị lộ trên internet.
Kể từ đó, lỗ hổng này đã bị khai thác hàng loạt, bằng chứng là nhóm nghiên cứu Fox-IT của Tập đoàn NCC vào tuần trước, để có được quyền truy cập ban đầu và triển khai một cửa hậu web shell trên 286 máy chủ.
Phần lớn các ca nhiễm bệnh nằm ở Mỹ, Hàn Quốc, Anh, Canada, Tây Ban Nha, Colombia, Malaysia, Ý, Ấn Độ và Panama. Tính đến ngày 20 tháng 2 năm 2023, có tổng cộng 146 máy chủ R1Soft vẫn hoạt động ở cửa sau.
Fox-IT cho biết: “Trong quá trình thỏa hiệp, kẻ thù đã có thể lọc các tệp cấu hình VPN, thông tin quản trị CNTT và các tài liệu nhạy cảm khác”.
