CISA警告駭客利用ZK Java框架RCE漏洞

美國網路安全與基礎設施安全域性(CISA)在威脅行為者開始積極利用遠端程式碼執行(RCE)漏洞進行攻擊後，將CVE-2022-36537新增到其“已知已利用漏洞目錄”中。

CVE-2022-36537是一個高嚴重程度(CVSS v3.1: 7.5)漏洞，影響ZK框架版本9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1，使攻擊者能夠透過向AuUploader元件傳送特製的POST請求來訪問敏感資訊。

“ZK Framework AuUploader servlet包含一個不明漏洞，可以允許攻擊者檢索位於web上下文中的檔案的內容，”CISA提到該漏洞時的描述。

該漏洞去年由Markus Wulftange發現，並於2022年5月05日由ZK解決，版本為9.6.2。

ZK是一個用Java編寫的開源Ajax Web應用程式框架，使Web開發人員能夠以較少的工作量和程式設計知識為Web應用程式建立圖形使用者介面。

ZK框架被廣泛應用於各種型別和規模的專案中，因此該缺陷的影響廣泛而深遠。

使用ZK框架的值得注意的示例包括ConnectWise Recover(2.9.7及更早版本)和ConnectWise R1SoftServer Backup Manager(6.16.3及更早版本)。

積極利用

在NCC Group的Fox-IT團隊釋出了一份報告，描述了該漏洞如何在攻擊中被積極利用之後，該漏洞被新增到CISA的已知利用漏洞目錄中。

根據Fox-IT的說法，在最近的一次事件響應中，發現攻擊者利用CVE-2022-36537獲得了ConnectWise R1Soft伺服器備份管理器軟體的初始訪問權。

然後，攻擊者轉向控制透過R1Soft備份代理連線的下游系統，並部署了具有後門功能的惡意資料庫驅動程式，使他們能夠在連線到該R1Soft伺服器的所有系統上執行命令。

根據該事件，Fox-IT進一步調查發現，自2022年11月以來，全球範圍內針對R1Soft伺服器軟體的利用嘗試一直在進行，截至2023年1月9日，至少有286臺伺服器執行該後門。

然而，該漏洞的利用並不意外，因為2022年12月在GitHub上釋出了多個概念證明(PoC)漏洞。

因此，對未打補丁的R1Soft伺服器備份管理器部署執行攻擊的工具隨處可見，管理員需要儘快將其更新到最新版本。

調查顯示，未修補的安全漏洞在駭客論壇中關注度依舊很高，這就意味著那些沒有按時更新軟體漏洞補丁的企業被駭客攻擊的潛在風險很大。尤其駭客不斷掃描網路中存在的漏洞準備發起攻擊，軟體存在安全漏洞就意味著給駭客以可乘之機。

建議企業除了安裝防護軟體之外，及時檢測、發現網路系統中的薄弱環節，並進行維護和修補，減小被駭客盯上的機率。同時，對於軟體開發企業，不應只關注在軟體開發的功能和效率，同時要將安全問題融入至開發週期當中，尤其經常被忽略的程式碼缺陷等問題。在 靜態程式碼安全檢測中，不但可以查詢、定位程式碼的缺陷，在編碼期間及時修改，同時也能檢測出一些不需要執行即可發現的問題，如XXS,注入漏洞等。

來源：

https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-zk-java-framework-rce-flaw/