US Cybersecurity & Infrastructure Security Agency (CISA) telah menambahkan CVE-2022-36537 ke dalam “Known Exploited Vulnerabilities Catalog” setelah pelaku ancaman mulai secara aktif mengeksploitasi kelemahan remote code execution (RCE) dalam serangan.
CVE-2022-36537 adalah cacat dengan tingkat keparahan tinggi (CVSS v3.1: 7.5) yang berdampak pada ZK Framework versi 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 dan 8.6.4.1, memungkinkan penyerang mengakses informasi sensitif dengan mengirimkan Permintaan POST ke komponen AuUploader.
“Server ZK Framework AuUploader berisi kerentanan yang tidak ditentukan yang memungkinkan penyerang mengambil konten file yang terletak di konteks web,” menyebutkan Deskripsi CISA tentang cacat tersebut.
Cacat tersebut ditemukan tahun lalu oleh Markus Wulftange dan ditangani oleh ZK pada 05 Mei 2022, dengan versi 9.6.2.
ZK adalah kerangka kerja aplikasi Web Ajax open-source yang ditulis dalam Java, memungkinkan pengembang web untuk membuat antarmuka pengguna grafis untuk aplikasi web dengan sedikit usaha dan pengetahuan pemrograman.
Kerangka ZK digunakan secara luas dalam proyek dari semua jenis dan ukuran, sehingga dampak cacatnya tersebar luas dan luas.
Contoh penting produk yang menggunakan kerangka ZK termasuk ConnectWise Recover, versi 2.9.7 dan sebelumnya, dan ConnectWise R1SoftServer Backup Manager, versi 6.16.3 dan sebelumnya.
CISA menetapkan tenggat waktu untuk menerapkan pembaruan keamanan yang tersedia hingga 20 Maret 2023, memberikan waktu sekitar tiga minggu kepada agen federal untuk menanggapi risiko keamanan dan mengambil tindakan yang tepat untuk mengamankan jaringan mereka.
Dieksploitasi secara aktif
Penambahan kerentanan ini ke Katalog Kerentanan Eksploitasi CISA yang Diketahui muncul setelah tim Fox-IT NCC Group menerbitkan sebuah laporan menjelaskan bagaimana cacat itu dieksploitasi secara aktif dalam serangan.
Menurut Fox-IT, selama respons insiden baru-baru ini, ditemukan bahwa musuh mengeksploitasi CVE-2022-36537 untuk mendapatkan akses awal ke perangkat lunak ConnectWise R1Soft Server Backup Manager.
Penyerang kemudian bergerak untuk mengontrol sistem downstream yang terhubung melalui R1Soft Backup Agent dan menyebarkan driver database berbahaya dengan fungsi backdoor, yang memungkinkan mereka menjalankan perintah pada semua sistem yang terhubung ke server R1Soft tersebut.
Berdasarkan kejadian itu, Fox-IT menyelidiki lebih lanjut dan menemukan bahwa upaya eksploitasi di seluruh dunia terhadap perangkat lunak server R1Soft telah berlangsung sejak November 2022, mendeteksi setidaknya 286 server yang menjalankan pintu belakang ini per 9 Januari 2023.
Namun, eksploitasi kerentanan tidak terduga, karena beberapa bukti konsep (PoC) mengeksploitasi diterbitkan di GitHub pada Desember 2022.
Oleh karena itu, alat untuk melakukan serangan terhadap penerapan R1Soft Server Backup Manager yang belum ditambal tersedia secara luas, sehingga administrator harus memperbarui ke versi terbaru.
