ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), tehdit aktörleri saldırılarda uzaktan kod yürütme (RCE) kusurunu aktif olarak kullanmaya başladıktan sonra "bilinen sömürülen güvenlik açıkları kataloğuna" CVE-2022-36537 ekledi.
CVE-2022-36537, ZK Framework Sürümlerini Etkiler 9.6.1, 9.6.0.2 ve 9.5.1.3, 9.0.1.2 ve 8.6.4.1, Hassas bilgiler erişmek için saldırganları etkinleştirme Auuploader bileşenine özel hazırlanmış bir posta isteği göndererek.
Cisa'nın kusur açıklamasında, "ZK Framework auuploader Servlets, bir saldırganın web bağlamında bulunan bir dosyanın içeriğini almasına izin verebilecek belirtilmemiş bir güvenlik açığı içeriyor."
Kusur geçen yıl Markus Wulftige tarafından keşfedildi ve 05 Mayıs 2022'de ZK tarafından 9.6.2 sürümüyle ele alındı.
ZK, Java'da yazılmış bir açık kaynaklı Ajax Web Uygulaması çerçevesidir ve web geliştiricilerinin minimum çaba ve programlama bilgisi ile web uygulamaları için grafik kullanıcı arayüzleri oluşturmalarını sağlar.
ZK çerçevesi her tür ve boyuttaki projelerde yaygın olarak kullanılmaktadır, bu nedenle kusurun etkisi yaygın ve geniş kapsamlıdır.
ZK Framework'ü kullanan ürünlerin önemli örnekleri arasında ConnectWise Recover, sürüm 2.9.7 ve önceki sürüm ve ConnectWise R1Softserver yedekleme yöneticisi, sürüm 6.16.3 ve önceki sürüm bulunur.
CISA, mevcut güvenlik güncellemelerini 20 Mart 2023'e uygulamak için son teslim tarihini belirleyerek federal kurumlara güvenlik riskine yanıt vermeleri ve ağlarını güvence altına almak için uygun önlemler almaları için yaklaşık üç hafta verdi.
CISA'nın bilinen sömürülen güvenlik açıkları kataloğuna bu kırılganlığın eklenmesi, NCC Group'un Fox-IT ekibinin kusurun saldırılarda aktif olarak nasıl sömürüldüğünü açıklayan bir rapor yayınladıktan sonra geliyor.
Fox-IT'ye göre, yakın tarihli bir olay yanıtı sırasında, bir düşmanın CNECTWise R1Soft Server yedekleme yöneticisi yazılımına ilk erişim elde etmek için CVE-2022-36537'den yararlandığı keşfedildi.
Saldırganlar daha sonra R1Soft yedekleme aracısı aracılığıyla bağlı aşağı akış sistemlerini kontrol etmek için harekete geçti ve arka kapı işlevselliğine sahip kötü amaçlı bir veritabanı sürücüsü kullandı ve bu R1Soft sunucusuna bağlı tüm sistemlerde komutlar yürütmelerini sağladı.
Bu olaya dayanarak, FOX-IT daha fazla araştırdı ve R1Soft Server yazılımına karşı dünya çapında sömürü girişimlerinin Kasım 2022'den bu yana devam ettiğini ve 9 Ocak 2023 itibariyle bu arka kapıyı çalıştıran en az 286 sunucuyu tespit ettiğini buldu.
Bununla birlikte, Aralık 2022'de GitHub'da çoklu kavram kanıtı (POC) istismarları yayınlandığından, güvenlik açığının sömürülmesi beklenmedik değildir.
Bu nedenle, Patched R1Soft Server yedekleme yöneticisi dağıtımlarına karşı saldırılar gerçekleştirme araçları yaygın olarak mevcuttur, bu da yöneticilerin en son sürüme güncellemesini zorunlu kılar.
Cisco Yamalar Kritik Web UI RCE Kusurlu Birden Fazla IP Telefonlarda
Fortinet, Fortinac ve Fortiweb'de kritik RCE kusurlarını düzeltir
Auth0, 22.000 proje tarafından kullanılan JsonWebtoken Kütüphanesinde RCE kusurunu düzeltiyor
VMware, Vrealize Günlük Analizi Aracı'ndaki kritik güvenlik hatalarını düzeltir
Kritik Yönetme RCE Bug şimdi ters mermileri açmak için sömürüldü
Kaynak: Bleeping Computer