Вибір редакції

«Дыра» в Java-фреймворке наделала шума в США.

03 марта, 2023. 10:03
В популярном Java-фреймворке выявлена уязвимость, которая позволяет устанавливать бэкдоры на множество систем сразу. Сама по себе уязвимость не критическая, но распространенность пакетов, использующих фреймворк, многократно увеличивает угрозу от нее.

Агенство по кибербезопасности защите инфраструктуры США (CISA) опубликовало специальный бюллетень, посвященный уязвимости CVE-2022-36537. Она не относится к критическим, однако затрагивает популярное решение и вдобавок ею активно пользуются злоумышленники.

Баг выявлен в Java-фреймворке ZK Framework версий 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 и 8.6.4.1. Для ее эксплуатации злоумышленникам потребуется отправить специально сконфигурированный запрос POST к компоненту AuUploader.

В результате у злоумышленника появляется возможность получить доступ к содержимому файла, «располагающегося в сетевом контексте», — указывается в описании уязвимости на сайте CISA.

ZK — это фреймворк для веб-приложений по методу Ajax, написанный на Java. С его помощью разработчики могут создавать графические интерфейсы для веб-приложений с минимальными усилиями и без глубоких познаний в программировании. Это обеспечивает ZK стабильную популярность на проектах самого разного масштаба.

Уязвимость, получившая оценку в 7,5 балла по шкале CVSS, была выявлена и устранена еще в мае 2023 г. с выходом версии 9.6.2. Однако довольно много систем, в которых используется ZK, остались уязвимыми, и злоумышленники стали активно этим пользоваться.

Госорганам США дали срок до 5 мая 2023 г., чтобы установить все необходимые обновления против уязвимости в ZK.

Эксперты группы NCC Group Fox-IT в ходе недавнего расследования инцидента обнаружили, что злоумышленники воспользовались CVE-2022-36537 для получения начального доступа к серверному решению для резервного копирования ConnectWise R1Soft, в котором используется фреймворк ZK.

Затем хакеры проникли в системы, подключенные к менеджеру резервного копирования через R1Soft Backup Agent и установили вредоносный драйвер базы данных с функциональностью бэкдора. Как следствие, они получили возможность запускать произвольные команды на всех системах, подключенных к данному серверу R1Soft.

Далее выяснилось, что подобные атаки предпринимались по всему миру самое позднее с ноября 2022 г., и к началу января 2023 г. как минимум 286 серверов были скомпрометированы с помощью бэкдора.

В этом не было ничего неожиданного, поскольку к декабрю 2022 г. на GitHub были размещены множественные эксплойты к этой уязвимости. Инструментарий для компрометации широко доступен, а значит, администраторам срочно необходимо установить обновления.

Комментарии: