重大供应链威胁!这个 Java 开源框架存在严重漏洞

安全 漏洞
10月份在ConnectWise产品中发现的较为严重的安全漏洞,如果不立即修补,可能会对供应链造成重大风险。

美国网络安全和基础设施安全局(CISA)和安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,他们正利用该漏洞向未打补丁的服务器部署后门。专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。

CISA已将CVE-2022-36537添加到其已知已开发漏洞(KEV)目录中,该漏洞影响ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。

根据KEV列表,在ZK框架AuUploader servlets中发现的这个漏洞,可能允许攻击者 "检索位于Web上下文中的文件内容",从而窃取敏感信息。CISA表示:该漏洞可以影响多个产品,包括但不限于ConnectWise R1Soft Server Backup Manager。

事实上,该漏洞在2022年10月首次出现便引起广泛关注,当时ConnectWise对其产品中漏洞的存在发出了警报,特别是ConnectWise Recover和R1Soft服务器备份管理器技术。Huntress的高级安全研究人员John Hammond和Caleb Stewart随后发表了一篇关于如何利用该漏洞的博文。

CISA和Huntress都是根据Fox-IT 2月22日发表的研究报告发出警告的,该报告发现有证据表明攻击者使用易受攻击版本的ConnectWise R1Soft Server Backup Manager软件 作为初始访问点和控制通过R1Soft Backup Agent连接的下游系统的平台,研究人员在一篇博客文章中写道。

研究人员在博文中还写道:这个代理被安装在系统上,以支持被R1Soft服务器软件备份,通常以高权限运行。这意味着,在对手最初通过R1Soft服务器软件获得访问权后,它能够在连接到该R1Soft服务器的所有运行代理的系统上执行命令。

漏洞的历史

ConnectWise方面在10月迅速采取行动为产品打补丁,向ConnectWise服务器备份管理器(SBM)的云端和客户端实例推送了自动更新,并敦促R1Soft服务器备份管理器的客户立即升级到新的SBM v6.16.4。

总部位于德国的安全厂商Code White GmbH的一名研究人员率先发现了CVE-2022-36537,并在2022年5月向ZK Java Web框架的维护者报告。他们在该框架的9.6.2版本中修复了这个问题。

根据Huntress的博文,ConnectWise意识到其产品的漏洞,当时同一公司的另一位研究人员发现ConnectWise的R1Soft SBM技术正在使用有漏洞的ZK库版本,并向公司报告了这个问题。

当该公司在90天内没有回应时,研究人员在Twitter上公布了一些关于如何利用该漏洞的细节,Huntress的研究人员利用这些细节复制了该漏洞并完善了一个概念验证(PoC)漏洞。

Huntress的研究人员最终证明他们可以利用该漏洞泄露服务器私钥、软件许可信息和系统配置文件,并最终在系统超级用户的背景下获得远程代码执行。

当时,研究人员通过Shodan发现了 多达5000个暴露的服务器管理器备份实例,所有这些都有可能被威胁者利用,同时还有他们的注册主机。他们推测,该漏洞有可能影响到比这更多的机器。

供应链面临风险

当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。现在,随着这种情况的改变,不仅在ConnectWise,在其他产品中也存在任何未打补丁的ZK Java Web框架版本。这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。

Fox-IT的研究表明,全世界对ConnectWise的R1Soft服务器软件的利用大约始于11月底,也就是Huntress发布其PoC之后不久。

研究人员写道:在指纹识别的帮助下,我们已经在全球范围内确定了多个被攻击的主机供应商。

Fox-IT研究人员在1月9日说,他们已经确定了 总共有286台运行R1Soft服务器软件的服务器带有特定后门。

根据KEV列表,CISA敦促任何仍在使用受影响ConnectWise产品的未修补版本的组织“根据供应商说明”更新其产品。虽然到目前为止,该漏洞的存在仅在ConnectWise产品中被发现,但使用未修补版本的框架的其他软件也容易受到攻击。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-10-14 13:14:12

安全供应链漏洞威胁

2024-01-19 21:51:42

2018-05-29 15:24:00

2021-02-05 14:11:13

物联网工业物联网安全

2023-02-23 07:52:20

2017-11-08 09:39:11

供应链消费升级CIO

2022-12-13 11:21:48

2022-10-19 13:55:55

2023-11-02 12:13:08

2022-07-08 14:07:41

供应链安全

2021-05-11 11:11:00

漏洞网络安全网络攻击

2021-06-18 14:36:39

Google软件供应链安全框架

2021-08-05 13:29:49

供应链威胁漏洞网络攻击

2023-11-06 07:11:14

2020-06-01 08:45:17

GitHub代码开发者

2022-04-26 10:47:15

智能供应链供应链

2021-05-10 10:49:00

供应链攻击网络安全网络攻击

2023-09-18 10:37:36

数字化供应链数字化转型

2018-11-09 15:46:34

ICT供应链漏洞

2023-07-22 00:08:16

点赞
收藏

51CTO技术栈公众号