«Дыра» в Java-фреймворке наделала шума в США.
Агенство по кибербезопасности защите инфраструктуры США (CISA) опубликовало специальный бюллетень, посвященный уязвимости CVE-2022-36537. Она не относится к критическим, однако затрагивает популярное решение и вдобавок ею активно пользуются злоумышленники.
Баг выявлен в Java-фреймворке ZK Framework версий 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 и 8.6.4.1. Для ее эксплуатации злоумышленникам потребуется отправить специально сконфигурированный запрос POST к компоненту AuUploader.
В результате у злоумышленника появляется возможность получить доступ к содержимому файла, «располагающегося в сетевом контексте», — указывается в описании уязвимости на сайте CISA.
ZK — это фреймворк для веб-приложений по методу Ajax, написанный на Java. С его помощью разработчики могут создавать графические интерфейсы для веб-приложений с минимальными усилиями и без глубоких познаний в программировании. Это обеспечивает ZK стабильную популярность на проектах самого разного масштаба.
Уязвимость, получившая оценку в 7,5 балла по шкале CVSS, была выявлена и устранена еще в мае 2023 г. с выходом версии 9.6.2. Однако довольно много систем, в которых используется ZK, остались уязвимыми, и злоумышленники стали активно этим пользоваться.
Госорганам США дали срок до 5 мая 2023 г., чтобы установить все необходимые обновления против уязвимости в ZK.
Эксперты группы NCC Group Fox-IT в ходе недавнего расследования инцидента обнаружили, что злоумышленники воспользовались CVE-2022-36537 для получения начального доступа к серверному решению для резервного копирования ConnectWise R1Soft, в котором используется фреймворк ZK.
Затем хакеры проникли в системы, подключенные к менеджеру резервного копирования через R1Soft Backup Agent и установили вредоносный драйвер базы данных с функциональностью бэкдора. Как следствие, они получили возможность запускать произвольные команды на всех системах, подключенных к данному серверу R1Soft.
Далее выяснилось, что подобные атаки предпринимались по всему миру самое позднее с ноября 2022 г., и к началу января 2023 г. как минимум 286 серверов были скомпрометированы с помощью бэкдора.
В этом не было ничего неожиданного, поскольку к декабрю 2022 г. на GitHub были размещены множественные эксплойты к этой уязвимости. Инструментарий для компрометации широко доступен, а значит, администраторам срочно необходимо установить обновления.