La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de alta gravedad que afecta el ZK Framework a su catálogo de vulnerabilidades conocidas explotadas (KEV) basado en evidencia de explotación activa.
rastreado como CVE-2022-36537 (puntaje CVSS: 7.5), el problema afecta las versiones 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 y 8.6.4.1 de ZK Framework, y permite a los actores de amenazas recuperar información confidencial a través de solicitudes especialmente diseñadas.
«ZK Framework es un marco Java de código abierto», CISA dicho. «Esta vulnerabilidad puede afectar a múltiples productos, incluidos, entre otros, ConnectWise R1Soft Server Backup Manager».
El vulnerabilidad fue parcheado en mayo de 2022 en las versiones 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3 y 8.6.4.2.
Como demostrado por Huntress en una prueba de concepto (PoC) en octubre de 2022, la vulnerabilidad se puede armar para evitar la autenticación, cargar un controlador de base de datos JDBC con puerta trasera para obtener la ejecución del código e implementar ransomware en puntos finales susceptibles.
Numen Cyber Labs, con sede en Singapur, además de publicar un PoC propio en diciembre de 2022, advertido que encontró más de 4000 instancias de Server Backup Manager expuestas en Internet.
Desde entonces, la vulnerabilidad ha sido explotada masivamente, como lo demostró el equipo de investigación Fox-IT de NCC Group la semana pasada, para obtener acceso inicial e implementar una puerta trasera de shell web en 286 servidores.
La mayoría de las infecciones se encuentran en EE. UU., Corea del Sur, Reino Unido, Canadá, España, Colombia, Malasia, Italia, India y Panamá. Un total de 146 servidores R1Soft permanecen con puerta trasera al 20 de febrero de 2023.
«En el transcurso del compromiso, el adversario pudo exfiltrar archivos de configuración de VPN, información de administración de TI y otros documentos confidenciales», Fox-IT dicho.