La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajoutée une faille de haute gravité affectant le ZK Framework à son catalogue de vulnérabilités exploitées connues (KEV) sur la base de preuves d’exploitation active.
Suivi comme CVE-2022-36537 (score CVSS : 7,5), le problème affecte les versions 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 et 8.6.4.1 de ZK Framework, et permet aux pirates de récupérer des informations sensibles via des requêtes spécialement conçues.
« Le ZK Framework est un framework Java open source, » CISA a dit. « Cette vulnérabilité peut affecter plusieurs produits, y compris, mais sans s’y limiter, ConnectWise R1Soft Server Backup Manager. »
Le vulnérabilité a été corrigé en mai 2022 dans les versions 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3 et 8.6.4.2.
Comme démontré par Huntress dans une preuve de concept (PoC) en octobre 2022, la vulnérabilité peut être militarisée pour contourner l’authentification, télécharger un pilote de base de données JDBC dérobé pour obtenir l’exécution de code et déployer un rançongiciel sur des terminaux sensibles.
Numen Cyber Labs, basé à Singapour, en plus de publier son propre PoC en décembre 2022, mis en garde qu’il a trouvé plus de 4 000 instances de Server Backup Manager exposées sur Internet.
La vulnérabilité a depuis fait l’objet d’une exploitation massive, comme en témoigne l’équipe de recherche Fox-IT du groupe NCC la semaine dernière, pour obtenir un accès initial et déployer une porte dérobée Web Shell sur 286 serveurs.
La majorité des infections se situent aux États-Unis, en Corée du Sud, au Royaume-Uni, au Canada, en Espagne, en Colombie, en Malaisie, en Italie, en Inde et au Panama. Au total, 146 serveurs R1Soft étaient toujours protégés par une porte dérobée au 20 février 2023.
« Au cours de la compromission, l’adversaire a pu exfiltrer des fichiers de configuration VPN, des informations d’administration informatique et d’autres documents sensibles », a déclaré Fox-IT. a dit.