Μια ευπάθεια παράκαμψης ελέγχου ταυτότητας υψηλής σοβαρότητας σε ένα ευρέως χρησιμοποιούμενο πλαίσιο Java ανοιχτού κώδικα είναι υπό ενεργή εκμετάλλευση από παράγοντες απειλών, οι οποίοι χρησιμοποιούν το ελάττωμα για να αναπτύξουν backdoors σε μη επιδιορθωμένους διακομιστές, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) και ερευνητές ασφαλείας προειδοποιούν .

Το σενάριο μπορεί να είναι σημαντικό απειλή της εφοδιαστικής αλυσίδας για οποιοδήποτε μη επιδιορθωμένο λογισμικό που χρησιμοποιεί την επηρεασμένη βιβλιοθήκη Java, η οποία βρίσκεται στο το ZK Java Web Framework, είπαν οι ειδικοί.

Η CISA πρόσθεσε CVE-2022-36537, το οποίο επηρεάζει τις εκδόσεις 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 και 8.6.4.1 του ZK Java Web Framework, στον κατάλογό του με γνωστά εκμεταλλευόμενα ευπάθεια (KEV).

Το ελάττωμα, που βρέθηκε στους servlets ZK Framework AuUloader, θα μπορούσε να επιτρέψει σε έναν εισβολέα «να ανακτήσει το περιεχόμενο ενός αρχείου που βρίσκεται στο πλαίσιο του Ιστού» και έτσι να κλέψει ευαίσθητες πληροφορίες, σύμφωνα με η καταχώριση KEV. «Αυτή η ευπάθεια μπορεί να επηρεάσει πολλά προϊόντα, συμπεριλαμβανομένου, ενδεικτικά, του ConnectWise R1Soft Server Backup Manager», δήλωσε η CISA.

Πράγματι, το ελάττωμα τράβηξε για πρώτη φορά ευρεία προσοχή τον Οκτώβριο του 2022, όταν η ConnectWise σήμανε συναγερμό για την ύπαρξή της στα προϊόντα της — συγκεκριμένα, τις τεχνολογίες διαχείρισης αντιγράφων ασφαλείας διακομιστή ConnectWise Recover και R1Soft. Στη συνέχεια, οι ανώτεροι ερευνητές ασφαλείας John Hammond και Caleb Stewart στο Huntress δημοσίευσε μια ανάρτηση στο blog για το πώς μπορεί να εκμεταλλευτεί το ελάττωμα.

Σε μια ενημέρωση σε αυτήν την ανάρτηση ιστολογίου που δημοσιεύτηκε ταυτόχρονα με τις συμβουλές της CISA, η Huntress προειδοποίησε ότι «η ευπάθεια που ανακαλύφθηκε πέρυσι στο λογισμικό R1Soft Server Backup Manager της ConnectWise έχει πλέον γίνει αντικείμενο εκμετάλλευσης στην άγρια ​​φύση για την ανάπτυξη backdoors σε εκατοντάδες διακομιστές μέσω CVE-2022-36537. "

Η CISA και η Huntress βασίστηκαν και οι δύο στις προειδοποιήσεις τους σε έρευνα από το Fox-IT που δημοσιεύθηκε στις 22 Φεβρουαρίου και βρήκε στοιχεία για έναν παράγοντα απειλής που χρησιμοποιεί μια ευάλωτη έκδοση του λογισμικού ConnectWise R1Soft Server Backup Manager «ως αρχικό σημείο πρόσβασης και ως πλατφόρμα ελέγχου κατάντη συστημάτων που συνδέονται μέσω του R1Soft Backup Agent», έγραψαν οι ερευνητές σε ένα blog post.

"Αυτός ο πράκτορας είναι εγκατεστημένος σε συστήματα για να υποστηρίζει τη δημιουργία αντιγράφων ασφαλείας από το λογισμικό διακομιστή R1Soft και συνήθως εκτελείται με υψηλά προνόμια", σύμφωνα με την ανάρτηση. "Αυτό σημαίνει ότι αφού ο αντίπαλος απέκτησε αρχικά πρόσβαση μέσω του λογισμικού διακομιστή R1Soft, ήταν σε θέση να εκτελέσει εντολές σε όλα τα συστήματα που εκτελούσαν τον πράκτορα που ήταν συνδεδεμένος σε αυτόν τον διακομιστή R1Soft."

Ιστορία του ελαττώματος

Από την πλευρά της, η ConnectWise κινήθηκε γρήγορα για να επιδιορθώσει τα προϊόντα τον Οκτώβριο, προωθώντας μια αυτόματη ενημέρωση τόσο στο cloud όσο και στις παρουσίες πελάτη του ConnectWise Server Backup Manager (SBM) και παροτρύνοντας τους πελάτες του διαχειριστή αντιγράφων ασφαλείας διακομιστή R1Soft να κάνουν άμεση αναβάθμιση στο νέο SBM v6.16.4.

Ένας ερευνητής από τον προμηθευτή ασφαλείας Code White GmbH με έδρα τη Γερμανία ήταν ο πρώτος που εντόπισε το CVE-2022-36537 και το ανέφερε στους συντηρητές του ZK Java Web Framework τον Μάιο του 2022. Διόρθωσαν το πρόβλημα στο έκδοση 9.6.2 του πλαισίου.

Η ConnectWise αντιλήφθηκε το ελάττωμα στα προϊόντα της όταν ένας άλλος ερευνητής από την ίδια εταιρεία ανακάλυψε ότι η τεχνολογία R1Soft SBM της ConnectWise χρησιμοποιούσε την ευάλωτη έκδοση της βιβλιοθήκης ZK και ανέφερε το πρόβλημα στην εταιρεία, σύμφωνα με την ανάρτηση ιστολογίου Huntress.

Όταν η εταιρεία δεν απάντησε σε 90 ημέρες, ο ερευνητής πείραξε μερικές λεπτομέρειες σχετικά με το πώς θα μπορούσε να εκμεταλλευτεί το ελάττωμα στο Twitter, το οποίο χρησιμοποίησαν οι ερευνητές από το Huntress για να αναπαράγουν την ευπάθεια και να βελτιώσουν μια εκμετάλλευση απόδειξης της ιδέας (PoC).

Οι ερευνητές του Huntress απέδειξαν τελικά ότι θα μπορούσαν να αξιοποιήσουν την ευπάθεια για διαρροή ιδιωτικών κλειδιών διακομιστή, πληροφορίες άδειας χρήσης λογισμικού και αρχεία διαμόρφωσης συστήματος και τελικά να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα στο πλαίσιο ενός υπερχρήστη συστήματος.

Εκείνη την εποχή, οι ερευνητές εντόπισαν «πάνω από 5,000 εκτεθειμένα στιγμιότυπα δημιουργίας αντιγράφων ασφαλείας του διαχειριστή διακομιστή μέσω του Shodan - όλα αυτά είχαν τη δυνατότητα να εκμεταλλευτούν οι φορείς απειλών, μαζί με τους εγγεγραμμένους κεντρικούς υπολογιστές τους», είπαν. Αλλά υπέθεσαν ότι η ευπάθεια είχε τη δυνατότητα να επηρεάσει σημαντικά περισσότερα μηχανήματα από αυτό.

Εφοδιαστική αλυσίδα σε κίνδυνο

Όταν η Huntress έκανε την ανάλυσή της για το ελάττωμα, δεν υπήρχαν στοιχεία ενεργητικής εκμετάλλευσης. Τώρα, με αυτό το σενάριο να έχει αλλάξει, τυχόν μη επιδιορθωμένες εκδόσεις του ZK Java Web Framework που βρίσκονται όχι μόνο στο ConnectWise αλλά και άλλα προϊόντα είναι δίκαιο παιχνίδι για τους παράγοντες απειλών, κάτι που θα μπορούσε να δημιουργήσει σημαντικές κίνδυνος για την εφοδιαστική αλυσίδα.

Η έρευνα της Fox-IT δείχνει ότι η παγκόσμια εκμετάλλευση του λογισμικού διακομιστή R1Soft της ConnectWise ξεκίνησε γύρω στα τέλη Νοεμβρίου, αμέσως μετά την κυκλοφορία του PoC της Huntress.

«Με τη βοήθεια δακτυλικών αποτυπωμάτων, έχουμε εντοπίσει πολλαπλούς παρόχους φιλοξενίας που έχουν παραβιαστεί παγκοσμίως», έγραψαν οι ερευνητές.

Στην πραγματικότητα, οι ερευνητές της Fox-IT δήλωσαν στις 9 Ιανουαρίου ότι είχαν εντοπίσει «συνολικά 286 διακομιστές που εκτελούν λογισμικό διακομιστή R1Soft με μια συγκεκριμένη κερκόπορτα».

Η CISA προτρέπει τους οργανισμούς που εξακολουθούν να χρησιμοποιούν μη επιδιορθωμένες εκδόσεις των επηρεαζόμενων προϊόντων ConnectWise να ενημερώνουν τα προϊόντα τους «ανά οδηγίες προμηθευτή», σύμφωνα με την καταχώριση KEV. Και ενώ, μέχρι στιγμής, η ύπαρξη του ελαττώματος είναι γνωστή μόνο στα προϊόντα ConnectWise, άλλο λογισμικό που χρησιμοποιεί μη επιδιορθωμένες εκδόσεις του πλαισίου θα ήταν επίσης ευάλωτο.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/risk/cisa-zk-java-framework-rce-flaw-under-active-exploit