Een zeer ernstige authenticatie-bypass-kwetsbaarheid in een veelgebruikt open source Java-framework wordt actief misbruikt door bedreigingsactoren, die de fout gebruiken om backdoors in te zetten naar niet-gepatchte servers, waarschuwen de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en beveiligingsonderzoekers .
Het scenario zou een belangrijke rol kunnen spelen dreiging van de toeleveringsketen voor niet-gepatchte software die gebruikmaakt van de getroffen Java-bibliotheek, die te vinden is in het ZK Java-webframework, zeiden experts.
De CISA heeft toegevoegd CVE-2022-36537, die van invloed is op ZK Java Web Framework versies 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 en 8.6.4.1, aan de catalogus met bekende uitgebuite kwetsbaarheden (KEV).
De fout, gevonden in ZK Framework AuUploader-servlets, zou een aanvaller in staat kunnen stellen "de inhoud van een bestand in de webcontext op te halen" en zo gevoelige informatie te stelen, aldus de KEV-lijst. "Deze kwetsbaarheid kan van invloed zijn op meerdere producten, inclusief maar niet beperkt tot ConnectWise R1Soft Server Backup Manager", aldus CISA.
De fout trok inderdaad voor het eerst brede aandacht in oktober 2022 toen ConnectWise alarm sloeg over het bestaan ervan in zijn producten, met name ConnectWise Recover en R1Soft serverback-upbeheertechnologieën. Vervolgens senior beveiligingsonderzoekers John Hammond en Caleb Stewart bij Huntress een blogpost gepubliceerd over hoe de fout kan worden misbruikt.
In een update van die blogpost die gelijktijdig met het advies van de CISA werd gepubliceerd, waarschuwde Huntress dat “de kwetsbaarheid die vorig jaar werd ontdekt in de R1Soft Server Backup Manager-software van ConnectWise nu in het wild wordt uitgebuit om backdoors in te zetten op honderden servers via CVE-2022-36537. '
CISA en Huntress baseerden hun waarschuwingen beide op onderzoek van Fox-IT, gepubliceerd op 22 februari, waarin bewijs werd gevonden van een bedreigingsactor die een kwetsbare versie van ConnectWise R1Soft Server Backup Manager-software gebruikte "als een eerste toegangspunt". en als een platform om downstream-systemen te besturen die zijn aangesloten via de R1Soft Backup Agent”, schreven de onderzoekers in een blog post.
"Deze agent wordt op systemen geïnstalleerd om back-up door de R1Soft-serversoftware te ondersteunen en werkt meestal met hoge privileges", aldus de post. "Dit betekent dat nadat de tegenstander aanvankelijk toegang had verkregen via de R1Soft-serversoftware, hij in staat was om opdrachten uit te voeren op alle systemen waarop de agent draaide die was verbonden met deze R1Soft-server."
Geschiedenis van de fout
ConnectWise van zijn kant ging snel te werk om de producten in oktober te patchen, het pushen van een automatische update naar zowel de cloud- als client-instances van ConnectWise Server Backup Manager (SBM), en klanten van de R1Soft serverback-upmanager aansporen om onmiddellijk te upgraden naar de nieuwe SBM v6.16.4.
Een onderzoeker van de in Duitsland gevestigde beveiligingsleverancier Code White GmbH was de eerste die CVE-2022-36537 identificeerde en dit in mei 2022 rapporteerde aan de beheerders van het ZK Java Web Framework. Ze losten het probleem op in versie 9.6.2 van het kader.
ConnectWise werd zich bewust van de fout in zijn producten toen een andere onderzoeker van hetzelfde bedrijf ontdekte dat de R1Soft SBM-technologie van ConnectWise de kwetsbare versie van de ZK-bibliotheek gebruikte en het probleem aan het bedrijf meldde, volgens de Huntress-blogpost.
Toen het bedrijf niet binnen 90 dagen reageerde, plaagde de onderzoeker een paar details over hoe de fout kon worden misbruikt op Twitter, die onderzoekers van Huntress gebruikten om de kwetsbaarheid te repliceren en een proof-of-concept (PoC) exploit te verfijnen.
Huntress-onderzoekers toonden uiteindelijk aan dat ze de kwetsbaarheid konden benutten om privésleutels van servers, softwarelicentie-informatie en systeemconfiguratiebestanden te lekken en uiteindelijk externe code-uitvoering te krijgen in de context van een systeemsupergebruiker.
Destijds identificeerden onderzoekers "meer dan 5,000 blootgestelde servermanager-back-upinstanties via Shodan - die allemaal het potentieel hadden om te worden uitgebuit door bedreigingsactoren, samen met hun geregistreerde hosts", zeiden ze. Maar ze vermoedden dat de kwetsbaarheid de potentie had om aanzienlijk meer machines te treffen.
Toeleveringsketen in gevaar
Toen Huntress de fout analyseerde, was er geen bewijs van actief misbruik. Nu dat scenario is gewijzigd, zijn alle niet-gepatchte versies van het ZK Java Web Framework die niet alleen in ConnectWise maar ook in andere producten worden gevonden, een eerlijk spel voor kwaadwillenden, wat aanzienlijke risico voor de toeleveringsketen.
Uit het onderzoek van Fox-IT blijkt dat de wereldwijde exploitatie van ConnectWise's R1Soft-serversoftware eind november begon, kort nadat Huntress haar PoC uitbracht.
"Met behulp van vingerafdrukken hebben we wereldwijd meerdere gecompromitteerde hostingproviders geïdentificeerd", schreven de onderzoekers.
Fox-IT-onderzoekers zeiden zelfs op 9 januari dat ze "in totaal 286 servers met R1Soft-serversoftware met een specifieke achterdeur" hadden geïdentificeerd.
CISA dringt er bij organisaties die nog steeds niet-gepatchte versies van de getroffen ConnectWise-producten gebruiken op aan om hun producten bij te werken "volgens de instructies van de leverancier", volgens de KEV-lijst. En hoewel het bestaan van de fout tot nu toe alleen bekend is in de ConnectWise-producten, zou andere software die niet-gepatchte versies van het framework gebruikt, ook kwetsbaar zijn.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/risk/cisa-zk-java-framework-rce-flaw-under-active-exploit
