CISA将“高严重性”ZK Framework漏洞添加到漏洞目录
ZK框架中的高严重性漏洞可能导致远程代码执行
关键要点
漏洞信息:ZK框架中的高严重性漏洞CVE202236537,可能导致远程代码执行RCE,已被CISA新增至漏洞目录。影响范围:该漏洞影响使用ZK框架的企业应用,存在大量未修补的服务器,给攻击者提供了可乘之机。修补建议:所有使用ZK框架的组织应及时安装2022年5月份发布的补丁。行业警告:专家警告,攻击者可能已在针对该漏洞进行扫描和攻击。2月27日,网络安全和基础设施安全局CISA将Java ZK框架中的高严重性漏洞加入了其漏洞目录。这一漏洞可能导致远程代码执行RCE,其CVSS评分为75。
在3月1日的一篇博客文章中,Nucleus Security的Ryan Cribelar表示,CISA可能在FOX IT报告数百个遭利用的ConnectWise R1Soft服务器后,将该漏洞CVE202236537加入了已知被利用漏洞KEV目录。尽管FOX IT后来撤回了该报告,但调查其撤回原因仍未成功。此漏洞的存在源于一种特殊构造的POST请求,这可能导致敏感文件信息的泄露,这些信息通常对用户是隐藏的。
Cribelar解释说:“攻击者的最大收获就是他们发现的RCE漏洞存在于备份管理软件中。当攻击者进入一个托管所有其他机器备份的服务器时,危险便向外扩散。”
ZK是构建企业级Web应用的领先开源Java Web框架,下载量超过2百万次。
Huntress的研究人员去年秋季在一篇博客中报告,ZK框架的漏洞最早由Markus Wulftange发现,随后Code White GmbH负责披露并鼓励于2022年5月发布了补丁版本ZK 972。
根据Huntress的描述,Wulftange的同事Florian Hauser@frycos发现ZK库与ConnectWise R1Soft服务器备份管理器软件捆绑,并尝试在2022年7月通知ConnectWise。在90天的披露标准后未得到回应后,Hauser在Twitter上发布了如何复制漏洞的屏幕截图。几天后,该帖子被删除,ConnectWise随后要求研究人员使用其信任中心主页上的披露表格。
基于Hauser的推文,Huntress的研究人员自行复制了该漏洞,并扩大了概念证明的利用。去年秋季的报告中,Huntress解释了如何利用现有的POC代码来实现设备接管,并在演示环境中利用R1Soft备份服务器传播Lockbit 30。
免费国际加速器下载在更新其博客时,Huntress确认CISA放入KEV目录的漏洞目前正在被威胁行动者所利用。
Cribelar补充说,任何使用ZK框架的组织都需要及时修补去年的漏洞,尤其是那些处理核心业务数据的应用。
ConnectWise的首席信息安全官CISOPatrick Beggs表示,该公司在10月份发布了针对该漏洞的修补程序,并鼓励具有本地实例的合作伙伴尽快安装补丁,