Nền tảng phần mềm quản lý dịch vụ CNTT ConnectWise đã phát hành Bản vá phần mềm cho một lỗ hổng bảo mật nghiêm trọng trong Recover và R1Soft Server Backup Manager (SBM).
Vấn đề, được đặc trưng là “sự vô hiệu hóa của các phần tử đặc biệt trong đầu ra được sử dụng bởi thành phần dòng xuống”, có thể bị lạm dụng để dẫn đến việc thực thi mã từ xa hoặc tiết lộ thông tin nhạy cảm.
Lời khuyên của ConnectWise lưu ý rằng lỗ hổng ảnh hưởng đến Recover v2.9.7 trở về trước, cũng như R1Soft SBM v6.16.3 trở về trước, đều bị ảnh hưởng bởi lỗ hổng nghiêm trọng.
Về cốt lõi, vấn đề liên quan đến lỗ hổng bỏ qua xác thực ngược dòng trong khung ứng dụng web Ajax mã nguồn mở ZK (CVE-2022-36537), ban đầu được vá vào tháng 5 năm 2022.
“Các SBM ConnectWise Recover bị ảnh hưởng đã tự động được cập nhật lên phiên bản Recover mới nhất (v2.9.9)”, công ty cho biết, đồng thời kêu gọi khách hàng nâng cấp lên SBM v6.16.4 được giao vào ngày 28 tháng 10 năm 2022.
Công ty an ninh mạng Huntress cho biết họ đã xác định được “hơn 5.000 trường hợp sao lưu trình quản lý máy chủ bị lộ”, có khả năng khiến các công ty gặp rủi ro trong chuỗi cung ứng.
Mặc dù không có bằng chứng về việc khai thác tích cực lỗ hổng trong tự nhiên, một bằng chứng về khái niệm do các nhà nghiên cứu John Hammond và Caleb Stewart của Huntress đưa ra cho thấy rằng nó có thể bị lạm dụng để bỏ qua xác thực, thực thi mã từ xa trên SBM và đẩy LockBit 3.0 ransomware cho tất cả các điểm cuối hạ lưu.
Các nhà nghiên cứu cho biết: “Điều quan trọng cần lưu ý là lỗ hổng ZK ngược dòng không chỉ ảnh hưởng đến R1Soft mà còn ảnh hưởng đến bất kỳ ứng dụng nào sử dụng phiên bản chưa được vá của ZK framework”.
“Quyền truy cập mà kẻ tấn công có thể đạt được bằng cách sử dụng lỗ hổng bỏ qua xác thực này là dành riêng cho ứng dụng đang bị khai thác, tuy nhiên có khả năng nghiêm trọng đối với các ứng dụng khác bị ảnh hưởng theo cách tương tự như R1Soft Server Backup Manager.”
