Yaygın olarak kullanılan bir açık kaynak Java çerçevesindeki yüksek önem düzeyine sahip bir kimlik doğrulama baypas güvenlik açığı, güvenlik açığını yama yapılmamış sunuculara arka kapılar dağıtmak için kullanan tehdit aktörleri, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve güvenlik araştırmacıları tarafından aktif olarak kullanılıyor. .
Uzmanlar, senaryonun ZK Java Web Çerçevesinde bulunan etkilenen Java kitaplığını kullanan herhangi bir yama uygulanmamış yazılım için önemli bir tedarik zinciri tehdidi oluşturabileceğini söyledi.
CISA, ZK Java Web Framework 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 ve 8.6.4.1 sürümlerini etkileyen CVE-2022-36537’yi Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna ekledi.
KEV listesine göre, ZK Framework AuUploader sunucu uygulamacıklarında bulunan kusur, bir saldırganın “Web bağlamında bulunan bir dosyanın içeriğini almasına” ve böylece hassas bilgileri çalmasına izin verebilir. CISA, “Bu güvenlik açığı, ConnectWise R1Soft Sunucu Yedekleme Yöneticisi dahil ancak bunlarla sınırlı olmamak üzere birden çok ürünü etkileyebilir.” dedi.
Gerçekten de, kusur ilk olarak Ekim 2022’de ConnectWise’ın ürünlerinde, özellikle de ConnectWise Recover ve R1Soft sunucu yedekleme yöneticisi teknolojilerinde varlığı konusunda bir alarm verdiğinde geniş çapta dikkat çekti. Huntress’teki kıdemli güvenlik araştırmacıları John Hammond ve Caleb Stewart daha sonra kusurun nasıl istismar edilebileceği hakkında bir blog yazısı yayınladılar.
Huntress, CISA’nın danışma belgesiyle eşzamanlı olarak yayınlanan bu blog gönderisine yönelik bir güncellemede, “ConnectWise’ın R1Soft Sunucu Yedekleme Yöneticisi yazılımında geçen yıl keşfedilen güvenlik açığının artık CVE-2022 aracılığıyla yüzlerce sunucuya arka kapı dağıtmak için vahşi doğada istismar edildiği görüldü” konusunda uyardı. 36537.”
CISA ve Huntress uyarılarını, bir tehdit aktörünün ConnectWise R1Soft Sunucu Yedekleme Yöneticisi yazılımının savunmasız bir sürümünü “ilk erişim noktası olarak” kullandığına dair kanıt bulan ve 22 Şubat’ta yayınlanan Fox-IT araştırmasına dayandırdı. Ve araştırmacılar bir blog gönderisinde, R1Soft Yedekleme Aracısı aracılığıyla bağlanan aşağı akış sistemlerini kontrol etmek için bir platform olarak” yazdı.
Gönderiye göre “Bu ajan, R1Soft sunucu yazılımı tarafından yedeklenmeyi desteklemek için sistemlere kurulur ve genellikle yüksek ayrıcalıklarla çalışır.” “Bu, düşmanın başlangıçta R1Soft sunucu yazılımı aracılığıyla erişim elde ettikten sonra, bu R1Soft sunucusuna bağlı aracıyı çalıştıran tüm sistemlerde komutları yürütebildiği anlamına gelir.”
Kusurun Tarihi
ConnectWise kendi adına, Ekim ayında ürünleri yamalamak için hızla harekete geçti, ConnectWise Sunucu Yedekleme Yöneticisinin (SBM) hem bulut hem de istemci örneklerine otomatik bir güncelleme gönderdi ve R1Soft sunucu yedekleme yöneticisinin müşterilerini hemen yeni sürüme yükseltmeye çağırdı. SBM v6.16.4.
Almanya merkezli güvenlik satıcısı Code White GmbH’den bir araştırmacı, CVE-2022-36537’yi ilk tanımlayan ve Mayıs 2022’de bunu ZK Java Web Çerçevesi bakımcılarına bildiren kişi oldu. Sorunu çerçevenin 9.6.2 sürümünde düzelttiler.
Huntress blog gönderisine göre, aynı şirketten başka bir araştırmacı ConnectWise’ın R1Soft SBM teknolojisinin ZK kitaplığının savunmasız sürümünü kullandığını keşfettiğinde ve sorunu şirkete bildirdiğinde ConnectWise, ürünlerindeki kusurun farkına vardı.
Şirket 90 gün içinde yanıt vermediğinde, araştırmacı, Huntress araştırmacılarının güvenlik açığını çoğaltmak ve bir kavram kanıtı (PoC) istismarını iyileştirmek için kullandığı kusurun Twitter’da nasıl kullanılabileceğine dair birkaç ayrıntıyla dalga geçti.
Huntress araştırmacıları nihayetinde, sunucu özel anahtarlarını, yazılım lisans bilgilerini ve sistem yapılandırma dosyalarını sızdırmak için güvenlik açığından yararlanabileceklerini ve sonunda bir sistem süper kullanıcısı bağlamında uzaktan kod yürütme elde edebileceklerini gösterdiler.
O sırada araştırmacılar, “Shodan aracılığıyla açığa çıkan 5.000’den fazla sunucu yöneticisi yedekleme örneği belirlediler – bunların tümü, kayıtlı ana bilgisayarlarıyla birlikte tehdit aktörleri tarafından istismar edilme potansiyeline sahipti” dediler. Ancak güvenlik açığının bundan çok daha fazla makineyi etkileme potansiyeline sahip olduğunu tahmin ettiler.
Tedarik Zinciri Risk Altında
Huntress, kusurun analizini yaptığında, aktif istismara dair hiçbir kanıt yoktu. Şimdi, bu senaryo değiştiğinde, ZK Java Web Framework’ün yalnızca ConnectWise’ta değil, diğer ürünlerde de bulunan yama uygulanmamış sürümleri tehdit aktörleri için adil bir oyundur ve bu da tedarik zinciri için önemli risk oluşturabilir.
Fox-IT’nin araştırması, ConnectWise’ın R1Soft sunucu yazılımının dünya çapında kullanımının Kasım ayının sonlarında, Huntress’in PoC’sini yayınlamasından hemen sonra başladığını gösteriyor.
Araştırmacılar, “Parmak izi almanın yardımıyla, dünya çapında güvenliği ihlal edilmiş çok sayıda barındırma sağlayıcısı belirledik” diye yazdı.
Aslında, Fox-IT araştırmacıları 9 Ocak’ta “belirli bir arka kapı ile R1Soft sunucu yazılımı çalıştıran toplam 286 sunucu” belirlediklerini söylediler.
CISA, KEV listesine göre, etkilenen ConnectWise ürünlerinin hala yama uygulanmamış sürümlerini kullanan kuruluşların ürünlerini “satıcı talimatlarına göre” güncellemelerini istiyor. Şimdiye kadar kusurun varlığı yalnızca ConnectWise ürünlerinde bilinirken, çerçevenin yama uygulanmamış sürümlerini kullanan diğer yazılımlar da savunmasız olacaktır.