En sårbarhet för att kringgå autentisering med hög stränghet i ett allmänt använt Java-ramverk med öppen källkod utnyttjas aktivt av hotaktörer, som använder felet för att distribuera bakdörrar till oparpade servrar, den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) och säkerhetsforskare varnar .
Scenariot kan utgöra en betydande hot om leveranskedjan för all oparpad programvara som använder det berörda Java-biblioteket, som finns i ZK Java Web Framework, sade experter.
CISA har lagt till CVE-2022-36537, som påverkar ZK Java Web Framework versionerna 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 och 8.6.4.1, till dess katalog över kända exploaterade sårbarheter (KEV).
Felet, som finns i ZK Framework AuUploader-servlets, kan tillåta en angripare "att hämta innehållet i en fil som finns i webbsammanhang" och därmed stjäla känslig information, enligt KEV-listan. "Denna sårbarhet kan påverka flera produkter, inklusive men inte begränsat till ConnectWise R1Soft Server Backup Manager," sa CISA.
Faktum är att felet först väckte stor uppmärksamhet i oktober 2022 när ConnectWise slog larm över dess existens i sina produkter – närmare bestämt ConnectWise Recover och R1Softs serverbackuphanterare. Senior säkerhetsforskare John Hammond och Caleb Stewart på Huntress senare publicerat ett blogginlägg om hur felet kan utnyttjas.
I en uppdatering av det blogginlägget som publicerades samtidigt med CISA:s råd, varnade Huntress för att "sårbarheten som upptäcktes förra året i ConnectWises programvara R1Soft Server Backup Manager har nu setts utnyttjas i naturen för att distribuera bakdörrar på hundratals servrar via CVE-2022-36537. "
CISA och Huntress baserade båda sina varningar på forskning från Fox-IT publicerad den 22 februari som fann bevis på att en hotaktör använde en sårbar version av ConnectWise R1Soft Server Backup Manager-programvaran "som en första åtkomstpunkt och som en plattform för att styra nedströms system anslutna via R1Soft Backup Agent”, skrev forskarna i ett blogginlägg.
"Denna agent är installerad på system för att stödja säkerhetskopiering av R1Soft-serverprogramvaran och körs vanligtvis med höga privilegier", enligt inlägget. "Detta betyder att efter att motståndaren först fick åtkomst via R1Soft-servermjukvaran kunde den utföra kommandon på alla system som kör agenten ansluten till denna R1Soft-server."
Felens historia
ConnectWise gick snabbt för att patcha produkterna i oktober, trycker ut en automatisk uppdatering till både moln- och klientinstanserna av ConnectWise Server Backup Manager (SBM), och uppmanar kunder till R1Softs serverbackuphanterare att omedelbart uppgradera till den nya SBM v6.16.4.
En forskare från den tyska säkerhetsleverantören Code White GmbH var den första som identifierade CVE-2022-36537 och rapporterade den till underhållarna av ZK Java Web Framework i maj 2022. De åtgärdade problemet i version 9.6.2 av ramverket.
ConnectWise blev medveten om bristen i sina produkter när en annan forskare från samma företag upptäckte att ConnectWises R1Soft SBM-teknik använde den sårbara versionen av ZK-biblioteket och rapporterade problemet till företaget, enligt Huntress-blogginlägget.
När företaget inte svarade på 90 dagar, retade forskaren några detaljer om hur bristen kunde utnyttjas på Twitter, som forskare från Huntress använde för att replikera sårbarheten och förfina en proof-of-concept (PoC) exploatering.
Huntress-forskare visade slutligen att de kunde utnyttja sårbarheten för att läcka privata servernycklar, programvarulicensinformation och systemkonfigurationsfiler och så småningom få fjärrkörning av kod i sammanhanget av en systemsuperanvändare.
Vid den tiden identifierade forskare "uppåt 5,000 XNUMX exponerade backup-instanser av serverhanterare via Shodan - som alla hade potential att utnyttjas av hotaktörer, tillsammans med deras registrerade värdar", sa de. Men de förmodade att sårbarheten hade potential att påverka betydligt fler maskiner än så.
Supply Chain i riskzonen
När Huntress gjorde sin analys av felet fanns det inga bevis för aktiv exploatering. Nu, med det scenariot ändrat, är alla oparpade versioner av ZK Java Web Framework som inte bara finns i ConnectWise utan även andra produkter rättvist spel för hotaktörer, vilket kan skapa betydande risk för leveranskedjan.
Fox-IT:s forskning visar att det globala utnyttjandet av ConnectWises R1Soft-servermjukvara började i slutet av november, strax efter att Huntress släppte sin PoC.
"Med hjälp av fingeravtryck har vi identifierat flera komprometterade värdleverantörer globalt", skrev forskarna.
Faktum är att Fox-IT-forskare sa den 9 januari att de hade identifierat "totalt 286 servrar som kör R1Soft-serverprogramvara med en specifik bakdörr."
CISA uppmanar alla organisationer som fortfarande använder oparpade versioner av de berörda ConnectWise-produkterna att uppdatera sina produkter "enligt säljarens instruktioner", enligt KEV-listan. Och även om förekomsten av bristen hittills bara är känd i ConnectWise-produkterna, skulle annan programvara som använder oparpade versioner av ramverket också vara sårbar.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/risk/cisa-zk-java-framework-rce-flaw-under-active-exploit
