ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), katma aktif istismar kanıtına dayalı olarak ZK Çerçevesini Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna kadar etkileyen yüksek önem dereceli bir kusur.
şu şekilde izlendi: CVE-2022-36537 (CVSS puanı: 7.5), sorun ZK Framework 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 ve 8.6.4.1 sürümlerini etkiliyor ve tehdit aktörlerinin özel hazırlanmış istekler aracılığıyla hassas bilgileri almasına olanak tanıyor.
“ZK Çerçevesi, açık kaynaklı bir Java çerçevesidir”, CISA söz konusu. “Bu güvenlik açığı, ConnectWise R1Soft Sunucu Yedekleme Yöneticisi dahil ancak bunlarla sınırlı olmamak üzere birden çok ürünü etkileyebilir.”
bu güvenlik açığı Mayıs 2022’de 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3 ve 8.6.4.2 sürümlerinde yama yapıldı.
Gibi gösterdi Huntress tarafından Ekim 2022’de bir konsept kanıtı (PoC) ile güvenlik açığı, kimlik doğrulamayı atlamak, kod yürütme elde etmek için arka kapılı bir JDBC veritabanı sürücüsü yüklemek ve hassas uç noktalara fidye yazılımı dağıtmak için silah haline getirilebilir.
Singapur merkezli Numen Cyber Labs, Aralık 2022’de kendi PoC’sini yayınlamanın yanı sıra, uyardı internette açığa çıkan 4.000’den fazla Sunucu Yedekleme Yöneticisi örneği bulduğunu.
Güvenlik açığı, geçen hafta NCC Group’un Fox-IT araştırma ekibi tarafından kanıtlandığı gibi, o zamandan beri ilk erişimi elde etmek ve 286 sunucuda bir web kabuğu arka kapısı dağıtmak için toplu olarak sömürüldü.
Enfeksiyonların çoğu ABD, Güney Kore, Birleşik Krallık, Kanada, İspanya, Kolombiya, Malezya, İtalya, Hindistan ve Panama’da bulunuyor. 20 Şubat 2023 itibarıyla toplam 146 R1Soft sunucusu arka kapılı durumda.
Fox-IT, “Uzlaşma süreci boyunca, düşman VPN yapılandırma dosyalarını, BT yönetim bilgilerini ve diğer hassas belgeleri sızdırmayı başardı.” söz konusu.
