«Дыра» в Java-фреймворке наделала шума в США. Все госорганы обязаны срочно установить обновления

Популярность как угроза

Агенство по кибербезопасности защите инфраструктуры США (CISA) опубликовало специальный бюллетень, посвященный уязвимости CVE-2022-36537. Она не относится к критическим, однако затрагивает популярное решение и вдобавок ею активно пользуются злоумышленники.

Баг выявлен в Java-фреймворке ZK Framework версий 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 и 8.6.4.1. Для ее эксплуатации злоумышленникам потребуется отправить специально сконфигурированный запрос POST к компоненту AuUploader.

В результате у злоумышленника появляется возможность получить доступ к содержимому файла, «располагающегося в сетевом контексте», — указывается в описании уязвимости на сайте CISA.

ZK — это фреймворк для веб-приложений по методу Ajax, написанный на Java. С его помощью разработчики могут создавать графические интерфейсы для веб-приложений с минимальными усилиями и без глубоких познаний в программировании. Это обеспечивает ZK стабильную популярность на проектах самого разного масштаба.

Фото: © maxxyustas / Фотобанк Фотодженика Фреймворк ZK под активной атакой. CISA требует устранить уязвимость до мая 2023 года

«Высокая популярность и распространенность программной разработки кратно умножают угрозу от уязвимости в ней, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Даже если сама по себе уязвимость не относится к критическим, опасность ее широкомасштабной эксплуатации де факто делает угрозу как раз-таки критической».

Уязвимость, получившая оценку в 7,5 балла по шкале CVSS, была выявлена и устранена еще в мае 2023 г. с выходом версии 9.6.2. Однако довольно много систем, в которых используется ZK, остались уязвимыми, и злоумышленники стали активно этим пользоваться.

Госорганам США дали срок до 5 мая 2023 г., чтобы установить все необходимые обновления против уязвимости в ZK.

Атаки по всему миру

Эксперты группы NCC Group Fox-IT в ходе недавнего расследования инцидента обнаружили, что злоумышленники воспользовались CVE-2022-36537 для получения начального доступа к серверному решению для резервного копирования ConnectWise R1Soft, в котором используется фреймворк ZK.

Затем хакеры проникли в системы, подключенные к менеджеру резервного копирования через R1Soft Backup Agent и установили вредоносный драйвер базы данных с функциональностью бэкдора. Как следствие, они получили возможность запускать произвольные команды на всех системах, подключенных к данному серверу R1Soft.

Далее выяснилось, что подобные атаки предпринимались по всему миру самое позднее с ноября 2022 г., и к началу января 2023 г. как минимум 286 серверов были скомпрометированы с помощью бэкдора.

В этом не было ничего неожиданного, поскольку к декабрю 2022 г. на GitHub были размещены множественные эксплойты к этой уязвимости. Инструментарий для компрометации широко доступен, а значит, администраторам срочно необходимо установить обновления.