Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

CISA предупреждает об активном использовании RCE-уязвимости ZK Java Framework

03/03/23

CISA3

Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость CVE-2022-36537 в свой Каталог известных эксплуатируемых уязвимостей после того, как хакеры начали активно использовать этот недостаток для удаленного выполнения кода (RCE) в атаках, пишет Securitylab.

CVE-2022-36537 (CVSS v3.1: 7.5) затрагивает сервлеты ZK Framework AuUploader версий 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, 8.6.4.1 и позволяет злоумышленникам получить доступ к конфиденциальной информации путем отправки специально сформированного POST-запроса компоненту AuUploader.

Дефект был обнаружен в прошлом году Маркусом Вульфтанжем и устранен компанией ZK 5 мая 2022 года в версии 9.6.2.

ZK — это фреймворк Ajax веб-приложений с открытым исходным кодом, написанный на Java, позволяющий веб-разработчикам создавать графические пользовательские интерфейсы для веб-приложений с минимальными усилиями и знаниями программирования. Фреймворк ZK широко используется в проектах всех типов и размеров, поэтому влияние дефекта широко и далеко идущее. Среди продуктов, использующих фреймворк ZK, можно отметить ConnectWise Recover и ConnectWise R1SoftServer Backup Manager.

Добавление этой уязвимости в каталог известных эксплуатируемых уязвимостей CISA произошло после того, как команда Fox-IT компании NCC Group опубликовала отчет, в котором описывается, как этот недостаток активно используется в атаках.

По данным Fox-IT, уязвимость позволила киберпреступнику получить первоначальный доступ к ПО ConnectWise R1Soft Server Backup Manager. Затем злоумышленник взял под контроль последующие системы, подключенные через R1Soft Backup Agent, и развернул вредоносный драйвер базы данных с функцией бэкдора, что позволило ему выполнять команды на всех системах, подключенных к этому серверу R1Soft.

Fox-IT обнаружила, что попытки эксплуатации уязвимости против серверного ПО R1Soft предпринимаются по всему миру с ноября 2022 года, и по состоянию на 9 января 2023 года было обнаружено не менее 286 серверов с бэкдором. Однако эксплуатация уязвимости была ожидаема, так как в декабре 2022 года на GitHub были опубликованы многочисленные PoC-эксплойты.

Таким образом, инструменты для проведения атак на непропатченные установки R1Soft Server Backup Manager широко доступны, поэтому администраторам крайне необходимо обновить их до последней версии.

Темы:JavaУгрозыCISA
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...