ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), aktif istismar kanıtına dayalı olarak Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna ZK Çerçevesini etkileyen yüksek önem dereceli bir kusur ekledi.
CVE-2022-36537 (CVSS puanı: 7.5) olarak izlenen sorun, ZK Framework 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 ve 8.6.4.1 sürümlerini etkiliyor ve tehdit aktörlerinin hassas bilgileri özel hazırlanmış istekler.
CISA, “ZK Çerçevesi, açık kaynaklı bir Java çerçevesidir” dedi. “Bu güvenlik açığı, ConnectWise R1Soft Sunucu Yedekleme Yöneticisi dahil ancak bunlarla sınırlı olmamak üzere birden çok ürünü etkileyebilir.”
Güvenlik açığı Mayıs 2022’de 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3 ve 8.6.4.2 sürümlerinde yamalandı.
Huntress tarafından Ekim 2022’de bir kavram kanıtı (PoC) ile gösterildiği gibi, güvenlik açığı, kimlik doğrulamasını atlamak, kod yürütme elde etmek için arka kapılı bir JDBC veritabanı sürücüsü yüklemek ve hassas uç noktalara fidye yazılımı dağıtmak için silah haline getirilebilir.
Singapur merkezli Numen Cyber Labs, Aralık 2022’de kendi PoC’sini yayınlamanın yanı sıra, internette açığa çıkan 4.000’den fazla Sunucu Yedekleme Yöneticisi örneği bulduğu konusunda uyarıda bulundu.
İşletmeniz 2023’ün En Önemli SaaS 🛡️ Güvenlik Zorluklarına Hazır mı? Bunlarla Nasıl Başa Çıkacağınızı Öğrenin – Web Seminerimize Hemen Katılın!
Güvenlik açığı, geçen hafta NCC Group’un Fox-IT araştırma ekibi tarafından kanıtlandığı gibi, ilk erişimi elde etmek ve 286 sunucuya bir web kabuğu arka kapısı yerleştirmek için toplu olarak sömürüldü.
Enfeksiyonların çoğu ABD, Güney Kore, Birleşik Krallık, Kanada, İspanya, Kolombiya, Malezya, İtalya, Hindistan ve Panama’da bulunuyor. 20 Şubat 2023 itibarıyla toplam 146 R1Soft sunucusu arka kapılı durumda.
Fox-IT, “Uzlaşma süreci boyunca, saldırgan VPN yapılandırma dosyalarını, BT yönetim bilgilerini ve diğer hassas belgeleri sızdırmayı başardı” dedi.