Поделиться
«Дыра» в Java-фреймворке наделала шума в США. Все госорганы обязаны срочно установить обновления
В популярном Java-фреймворке выявлена уязвимость, которая позволяет устанавливать бэкдоры на множество систем сразу. Сама по себе уязвимость не критическая, но распространенность пакетов, использующих фреймворк, многократно увеличивает угрозу от нее.
Популярность как угроза
Агенство по кибербезопасности защите инфраструктуры США (CISA) опубликовало специальный бюллетень, посвященный уязвимости CVE-2022-36537. Она не относится к критическим, однако затрагивает популярное решение и вдобавок ею активно пользуются злоумышленники.
Баг выявлен в Java-фреймворке ZK Framework версий 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 и 8.6.4.1. Для ее эксплуатации злоумышленникам потребуется отправить специально сконфигурированный запрос POST к компоненту AuUploader.
В результате у злоумышленника появляется возможность получить доступ к содержимому файла, «располагающегося в сетевом контексте», — указывается в описании уязвимости на сайте CISA.
ZK — это фреймворк для веб-приложений по методу Ajax, написанный на Java. С его помощью разработчики могут создавать графические интерфейсы для веб-приложений с минимальными усилиями и без глубоких познаний в программировании. Это обеспечивает ZK стабильную популярность на проектах самого разного масштаба.
«Высокая популярность и распространенность программной разработки кратно умножают угрозу от уязвимости в ней, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Даже если сама по себе уязвимость не относится к критическим, опасность ее широкомасштабной эксплуатации де факто делает угрозу как раз-таки критической».
Уязвимость, получившая оценку в 7,5 балла по шкале CVSS, была выявлена и устранена еще в мае 2023 г. с выходом версии 9.6.2. Однако довольно много систем, в которых используется ZK, остались уязвимыми, и злоумышленники стали активно этим пользоваться.
Госорганам США дали срок до 5 мая 2023 г., чтобы установить все необходимые обновления против уязвимости в ZK.
Атаки по всему миру
Эксперты группы NCC Group Fox-IT в ходе недавнего расследования инцидента обнаружили, что злоумышленники воспользовались CVE-2022-36537 для получения начального доступа к серверному решению для резервного копирования ConnectWise R1Soft, в котором используется фреймворк ZK.
Затем хакеры проникли в системы, подключенные к менеджеру резервного копирования через R1Soft Backup Agent и установили вредоносный драйвер базы данных с функциональностью бэкдора. Как следствие, они получили возможность запускать произвольные команды на всех системах, подключенных к данному серверу R1Soft.
Далее выяснилось, что подобные атаки предпринимались по всему миру самое позднее с ноября 2022 г., и к началу января 2023 г. как минимум 286 серверов были скомпрометированы с помощью бэкдора.
В этом не было ничего неожиданного, поскольку к декабрю 2022 г. на GitHub были размещены множественные эксплойты к этой уязвимости. Инструментарий для компрометации широко доступен, а значит, администраторам срочно необходимо установить обновления.
Короткая ссылка
