美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）和安全研究人員報(bào)告稱，一個(gè)受廣泛使用的開源Java框架中存在嚴(yán)重漏洞并被攻擊者利用，他們正利用該漏洞向未打補(bǔ)丁的服務(wù)器部署后門。專家表示，這種情況可能會(huì)對(duì)未打補(bǔ)丁的軟件構(gòu)成重大供應(yīng)鏈威脅。

CISA已將CVE-2022-36537添加到其已知已開發(fā)漏洞（KEV）目錄中，該漏洞影響ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。

根據(jù)KEV列表，在ZK框架AuUploader servlets中發(fā)現(xiàn)的這個(gè)漏洞，可能允許攻擊者 "檢索位于Web上下文中的文件內(nèi)容"，從而竊取敏感信息。CISA表示：該漏洞可以影響多個(gè)產(chǎn)品，包括但不限于ConnectWise R1Soft Server Backup Manager。

事實(shí)上，該漏洞在2022年10月首次出現(xiàn)便引起廣泛關(guān)注，當(dāng)時(shí)ConnectWise對(duì)其產(chǎn)品中漏洞的存在發(fā)出了警報(bào)，特別是ConnectWise Recover和R1Soft服務(wù)器備份管理器技術(shù)。Huntress的高級(jí)安全研究人員John Hammond和Caleb Stewart隨后發(fā)表了一篇關(guān)于如何利用該漏洞的博文。

CISA和Huntress都是根據(jù)Fox-IT 2月22日發(fā)表的研究報(bào)告發(fā)出警告的，該報(bào)告發(fā)現(xiàn)有證據(jù)表明攻擊者使用易受攻擊版本的ConnectWise R1Soft Server Backup Manager軟件 作為初始訪問點(diǎn)和控制通過R1Soft Backup Agent連接的下游系統(tǒng)的平臺(tái)，研究人員在一篇博客文章中寫道。

研究人員在博文中還寫道：這個(gè)代理被安裝在系統(tǒng)上，以支持被R1Soft服務(wù)器軟件備份，通常以高權(quán)限運(yùn)行。這意味著，在對(duì)手最初通過R1Soft服務(wù)器軟件獲得訪問權(quán)后，它能夠在連接到該R1Soft服務(wù)器的所有運(yùn)行代理的系統(tǒng)上執(zhí)行命令。

漏洞的歷史

ConnectWise方面在10月迅速采取行動(dòng)為產(chǎn)品打補(bǔ)丁，向ConnectWise服務(wù)器備份管理器（SBM）的云端和客戶端實(shí)例推送了自動(dòng)更新，并敦促R1Soft服務(wù)器備份管理器的客戶立即升級(jí)到新的SBM v6.16.4。

總部位于德國的安全廠商Code White GmbH的一名研究人員率先發(fā)現(xiàn)了CVE-2022-36537，并在2022年5月向ZK Java Web框架的維護(hù)者報(bào)告。他們?cè)谠摽蚣艿?.6.2版本中修復(fù)了這個(gè)問題。

根據(jù)Huntress的博文，ConnectWise意識(shí)到其產(chǎn)品的漏洞，當(dāng)時(shí)同一公司的另一位研究人員發(fā)現(xiàn)ConnectWise的R1Soft SBM技術(shù)正在使用有漏洞的ZK庫版本，并向公司報(bào)告了這個(gè)問題。

當(dāng)該公司在90天內(nèi)沒有回應(yīng)時(shí)，研究人員在Twitter上公布了一些關(guān)于如何利用該漏洞的細(xì)節(jié)，Huntress的研究人員利用這些細(xì)節(jié)復(fù)制了該漏洞并完善了一個(gè)概念驗(yàn)證（PoC）漏洞。

Huntress的研究人員最終證明他們可以利用該漏洞泄露服務(wù)器私鑰、軟件許可信息和系統(tǒng)配置文件，并最終在系統(tǒng)超級(jí)用戶的背景下獲得遠(yuǎn)程代碼執(zhí)行。

當(dāng)時(shí)，研究人員通過Shodan發(fā)現(xiàn)了 多達(dá)5000個(gè)暴露的服務(wù)器管理器備份實(shí)例，所有這些都有可能被威脅者利用，同時(shí)還有他們的注冊(cè)主機(jī)。他們推測(cè)，該漏洞有可能影響到比這更多的機(jī)器。

供應(yīng)鏈面臨風(fēng)險(xiǎn)

當(dāng)Huntress對(duì)該漏洞進(jìn)行分析時(shí)，沒有證據(jù)表明存在主動(dòng)利用的情況?，F(xiàn)在，隨著這種情況的改變，不僅在ConnectWise，在其他產(chǎn)品中也存在任何未打補(bǔ)丁的ZK Java Web框架版本。這對(duì)攻擊者來說無疑是利好的，同時(shí)這可能給供應(yīng)鏈帶來重大風(fēng)險(xiǎn)。

Fox-IT的研究表明，全世界對(duì)ConnectWise的R1Soft服務(wù)器軟件的利用大約始于11月底，也就是Huntress發(fā)布其PoC之后不久。

研究人員寫道：在指紋識(shí)別的幫助下，我們已經(jīng)在全球范圍內(nèi)確定了多個(gè)被攻擊的主機(jī)供應(yīng)商。

Fox-IT研究人員在1月9日說，他們已經(jīng)確定了 總共有286臺(tái)運(yùn)行R1Soft服務(wù)器軟件的服務(wù)器帶有特定后門。

根據(jù)KEV列表，CISA敦促任何仍在使用受影響ConnectWise產(chǎn)品的未修補(bǔ)版本的組織“根據(jù)供應(yīng)商說明”更新其產(chǎn)品。雖然到目前為止，該漏洞的存在僅在ConnectWise產(chǎn)品中被發(fā)現(xiàn)，但使用未修補(bǔ)版本的框架的其他軟件也容易受到攻擊。