CISA

米国のサイバーセキュリティ & インフラストラクチャ セキュリティ エージェンシー (CISA) は、脅威アクターがリモート コード実行 (RCE) の脆弱性を攻撃で積極的に悪用し始めたため、CVE-2022-36537 を「既知の悪用された脆弱性カタログ」に追加しました。

CVE-2022-36537 は、ZK Framework バージョン 9.6.1、9.6.0.1、9.5.1.3、9.0.1.2、および 8.6.4.1 に影響を与える重大度の高い (CVSS v3.1: 7.5) 欠陥であり、攻撃者が機密情報にアクセスできるようになります。特別に細工された POST リクエストを AuUploader コンポーネントに送信することによって。

「ZK フレームワークの AuUploader サーブレットには、攻撃者が Web コンテキストにあるファイルのコンテンツを取得することを可能にする不特定の脆弱性が含まれています」と、 CISA の欠陥の説明に言及しています。

この欠陥は Markus Wulftange によって昨年発見され、2022 年 5 月 5 日にバージョン 9.6.2で ZK によって対処されました。

ZK は Java で記述されたオープンソースの Ajax Web アプリ フレームワークであり、Web 開発者は最小限の労力とプログラミング知識で Web アプリケーションのグラフィカル ユーザー インターフェイスを作成できます。

ZK フレームワークはあらゆる種類と規模のプロジェクトで広く採用されているため、この欠陥の影響は広範かつ広範囲に及びます。

ZK フレームワークを使用する製品の注目すべき例には、ConnectWise Recover (バージョン 2.9.7 以前) および ConnectWise R1SoftServer Backup Manager (バージョン 6.16.3 以前) が含まれます。

「この種の脆弱性は、悪意のあるサイバー アクターによる頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」 – CISA .

CISA は、利用可能なセキュリティ更新プログラムを適用する期限を 2023 年 3 月 20 日に設定しました。これにより、連邦政府機関は、セキュリティ リスクに対応し、ネットワークを保護するための適切な措置を講じるのに約 3 週間かかります。

積極的に悪用されている

この脆弱性が CISA の Known Exploited Vulnerabilities Catalog に追加されたのは、NCC Group の Fox-IT チームがこの脆弱性が攻撃でどのように積極的に悪用されているかを説明したレポートを公開した後です。

Fox-IT によると、最近のインシデント対応中に、攻撃者が CVE-2022-36537 を悪用して ConnectWise R1Soft Server Backup Manager ソフトウェアへの初期アクセスを取得したことが発見されました。

次に攻撃者は、R1Soft Backup Agent 経由で接続されたダウンストリーム システムを制御するために移動し、バックドア機能を備えた悪意のあるデータベース ドライバーを展開して、その R1Soft サーバーに接続されたすべてのシステムでコマンドを実行できるようにしました。

このインシデントに基づいて、Fox-IT がさらに調査した結果、R1Soft サーバー ソフトウェアに対する悪用の試みが 2022 年 11 月から世界中で進行中であり、2023 年 1 月 9 日現在、このバックドアを実行しているサーバーが少なくとも 286 台検出されていることがわかりました。

ただし、2022 年 12 月に複数の概念実証 (PoC) エクスプロイトがGitHub で公開されたため、脆弱性のエクスプロイトは予想外ではありません。

そのため、パッチが適用されていない R1Soft Server Backup Manager の展開に対して攻撃を実行するツールが広く利用されているため、管理者は最新バージョンに更新することが不可欠です。