ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), tehdit aktörlerinin saldırılarda uzaktan kod yürütme (RCE) kusurunu aktif olarak kullanmaya başlamasının ardından CVE-2022-36537’yi “Bilinen Yararlanılan Güvenlik Açıkları Kataloğu”na ekledi.
CVE-2022-36537, ZK Framework 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 ve 8.6.4.1 sürümlerini etkileyen, saldırganların hassas bilgilere erişmesini sağlayan yüksek önem dereceli (CVSS v3.1: 7.5) bir kusurdur. AuUploader bileşenine özel hazırlanmış bir POST isteği göndererek.
CISA’nın kusurla ilgili açıklamasında “ZK Framework AuUploader servlet’leri, bir saldırganın web bağlamında bulunan bir dosyanın içeriğini almasına izin verebilecek, belirtilmemiş bir güvenlik açığı içeriyor.”
Açık, geçen yıl Markus Wulftange tarafından keşfedildi ve ZK tarafından 05 Mayıs 2022’de 9.6.2 sürümüyle ele alındı.
ZK, Java ile yazılmış açık kaynaklı bir Ajax Web uygulaması çerçevesidir ve web geliştiricilerinin minimum çaba ve programlama bilgisi ile web uygulamaları için grafik kullanıcı arayüzleri oluşturmasına olanak tanır.
ZK çerçevesi, her tür ve büyüklükteki projede yaygın olarak kullanılmaktadır, bu nedenle kusurun etkisi yaygın ve geniş kapsamlıdır.
ZK çerçevesini kullanan ürünlerin dikkate değer örnekleri arasında ConnectWise Recover, sürüm 2.9.7 ve öncesi ile ConnectWise R1SoftServer Backup Manager, sürüm 6.16.3 ve öncesi yer alır.
CISA, mevcut güvenlik güncellemelerini uygulamak için son tarihi 20 Mart 2023 olarak belirledi ve federal kurumlara güvenlik riskine yanıt vermeleri ve ağlarının güvenliğini sağlamak için uygun önlemleri almaları için yaklaşık üç hafta süre verdi.
Aktif olarak sömürülen
Bu güvenlik açığının CISA’nın Bilinen Yararlanılan Güvenlik Açıkları Kataloğu’na eklenmesi, NCC Group’un Fox-IT ekibinin saldırılarda güvenlik açığından nasıl aktif olarak yararlanıldığını açıklayan bir rapor yayınlamasının ardından geldi.
Fox-IT’ye göre, yakın tarihli bir olay müdahalesi sırasında, bir saldırganın ConnectWise R1Soft Sunucu Yedekleme Yöneticisi yazılımına ilk erişim elde etmek için CVE-2022-36537’den yararlandığı keşfedildi.
Saldırganlar daha sonra R1Soft Yedekleme Aracısı aracılığıyla bağlanan aşağı akış sistemlerini kontrol etmek için harekete geçti ve arka kapı işlevine sahip kötü amaçlı bir veritabanı sürücüsü konuşlandırarak, bu R1Soft sunucusuna bağlı tüm sistemlerde komutları yürütmelerini sağladı.
Bu olayı temel alan Fox-IT, daha fazla araştırma yaptı ve Kasım 2022’den beri R1Soft sunucu yazılımına yönelik dünya çapında istismar girişimlerinin devam ettiğini ve 9 Ocak 2023 itibarıyla bu arka kapıyı çalıştıran en az 286 sunucu tespit ettiğini tespit etti.
Bununla birlikte, Aralık 2022’de GitHub’da birden fazla kavram kanıtı (PoC) istismarı yayınlandığı için güvenlik açığından yararlanılması beklenmeyen bir durum değildir.
Bu nedenle, yama uygulanmamış R1Soft Sunucu Yedekleme Yöneticisi dağıtımlarına karşı saldırı gerçekleştirmeye yönelik araçlar yaygın olarak bulunur ve bu da yöneticilerin en son sürüme güncelleme yapmasını zorunlu kılar.