主动利用ZK框架CVE-2022-36537

最后更新于2024年2月27日星期二17:21:53 GMT

紧急威胁发展迅速, 随着我们对这个漏洞的了解越来越多, 这篇博文将继续发展, too.

Rapid7意识到 CVE-2022-36537 在ConnectWise R1Soft Server Backup Manager软件的易受攻击版本中. 该漏洞的根本原因是ZK框架存在信息披露缺陷, 用于创建web应用程序的开源Java框架. ConnectWise uses ZK Framework in its popular R1Soft and Recovery products; the vulnerability is being used for remote code execution and the installation of malicious drivers that function as backdoors. 获得初始访问权限后, 据报道，攻击者能够在运行连接到R1Soft服务器的代理的所有系统上执行命令.

The advisory and NVD entry 对于CVE-2022-36537，表面上表明, 这个漏洞仅仅是一个信息泄露漏洞. Rapid7认为这种分类大大低估了CVE-2022-36537的风险和影响，不应该用作降低优先级的基础.

Overview

2022年5月，软件公司Potix released an update to ZK Framework，一个开源Java框架，用于用纯Java创建企业web和移动应用程序. 该更新解决了 CVE-2022-36537白色代码公司(Code White GmbH)向Potix报告了这一事件 Markus Wulftange. 该漏洞源于ZK Framework的AuUploader组件中的一个问题，该问题允许攻击者将HTTP请求转发到内部URI. 成功利用漏洞可以让攻击者获得敏感信息，或者攻击原本可能无法到达的端点. 因为ZK框架是一个库, 除了核心框架本身，CVE-2022-36537还可能影响一系列其他产品.

2022年10月，安全公司亨特斯发布了一份 blog on a Lockbit 3.0起勒索软件事件，包括利用ConnectWise R1Soft Server Backup Manager软件中的CVE-2022-36537. 威胁行为者利用该漏洞绕过身份验证, 部署了一个允许任意代码执行的恶意JDBC数据库驱动程序, 最后使用REST API向注册代理发送命令，这些命令指示代理将勒索软件推送到下游系统. 恶意JDBC驱动程序还可以作为进入受损系统的后门.

On February 22, 2023, NCC集团的FOX IT团队发布了一个类似的事件，早在11月29日，他们就观察到威胁行为者利用CVE-2022-36537攻击ConnectWise R1Soft服务器, 2022. 根据福克斯IT的研究, 截至2023年1月，已有数百台R1Soft服务器被植入后门, 其中140多个仍处于妥协状态. 他们有一个完整的攻击链和一个IOCs列表.

FOX IT表示，攻击者将R1Soft“作为初始访问点和控制通过R1Soft备份代理连接的下游系统的平台”. 该代理安装在系统上，以支持由R1Soft服务器软件进行备份，并且通常以高权限运行. 这意味着攻击者最初通过R1Soft服务器软件获得访问权限后，就能够在运行连接到该R1Soft服务器的代理的所有系统上执行命令.”

Shodan reports 截至2023年3月1日，有3,643个ConnectWise R1Soft服务器备份管理器实例. 多个公共概念验证(PoC)漏洞可以追溯到2022年12月. 2023年2月27日.S. 网络安全和基础设施安全局(CISA)将CVE-2022-36537添加到其已知利用漏洞(KEV)列表中 发布警告 “这种类型的漏洞是恶意网络行为者经常攻击的载体，对联邦企业构成重大风险.”  

As mentioned above, CVE-2022-36537的主要建议和NVD条目都指出，ZK框架的核心漏洞是一个信息泄露缺陷(因此7.5 CVSSv3 score). 在ConnectWise R1Soft的背景下, however, 该漏洞的影响是远程代码执行, 不仅仅是信息披露.

The public PoCs include code 使用该漏洞泄露文件/配置/数据库驱动程序的内容.zul并公开一个用于保密的唯一ID值. 一旦攻击者有了这个ID值, 他们可以再次利用该漏洞到达无法访问的端点并上传恶意数据库驱动程序.

Affected products

ZK框架(核心)

所有版本的ZK框架从9.6.1及以下存在CVE-2022-36537漏洞. Potix发布了第9版.6.将在2022年5月4日修复此问题，以及早期分支的几个热修复(9.6.0, 9.5.1, 9.0.1, and 8.6.4).

Fixed ZK框架的版本有:

• 9.6.2
• 9.6.0.2(安全发布)
• 9.5.1.4(安全发布)
• 9.0.1.3(安全发布)
• 8.6.4.2(安全发布)

解决方案是可用的，但一如既往，我们强烈建议应用补丁. See Potix’s advisory 有关受影响的ZK框架版本的详细信息.

ConnectWise产品

根据ConnectWise的 advisory， CVE-2022-36537影响以下产品和版本:

• ConnectWiseRecover v2.9.7及更早的版本是脆弱的
• ConnectWise R1Soft Server Backup Manager (SBM): SBM v6版本.16.3和更早的版本是脆弱的

ConnectWise R1Soft用户建议将服务器备份管理器升级到SBM v6版本.16.于2022年10月28日发行 r1软升级wiki.

该通知还指出，受影响的ConnectWise recovery sbm已自动更新到最新版本的Recover (v2).9.9)自2022年10月28日起.

缓解指导

ConnectWise R1Soft服务器备份管理器用户应将其R1Soft安装更新到固定版本(v6).16.4)紧急情况下, 无需等待常规补丁周期发生, 并检查他们的环境，寻找妥协的迹象. Both Huntress 和FOX IT有观察到的入侵迹象的信息.

ZK框架用户同样应该立即更新到固定版本, 无需等待常规补丁周期发生. 与许多库漏洞一样，评估暴露可能很复杂. It’s likely there are additional applications that implement ZK Framework; downstream advisories may include other information about ease or impact of exploitation.

因为截至3月1日，ConnectWise R1Soft似乎是已知攻击的主要载体, 2023, 我们强烈建议优先考虑这些补丁.

Rapid7 customers

3月2日发布了一个针对影响R1Soft服务器备份管理器的CVE-2022-36537的未经认证的漏洞检查, InsightVM和expose 2023年内容更新.