ZK框架中的高严重性漏洞可能导致远程代码执行

关键要点

• 漏洞信息 ：ZK框架中的高严重性漏洞（CVE-2022-36537），可能导致远程代码执行（RCE），已被CISA新增至漏洞目录。
• 影响范围 ：该漏洞影响使用ZK框架的企业应用，存在大量未修补的服务器，给攻击者提供了可乘之机。
• 修补建议 ：所有使用ZK框架的组织应及时安装2022年5月份发布的补丁。
• 行业警告 ：专家警告，攻击者可能已在针对该漏洞进行扫描和攻击。

2月27日，网络安全和基础设施安全局（CISA）将JavaZK框架中的高严重性漏洞加入了其漏洞目录。这一漏洞可能导致远程代码执行（RCE），其CVSS评分为7.5。

在3月1日的一篇中，Nucleus Security的RyanCribelar表示，CISA可能在FOX IT报告数百个遭利用的ConnectWiseR1Soft服务器后，将该漏洞加入了。尽管FOXIT后来撤回了该报告，但调查其撤回原因仍未成功。此漏洞的存在源于一种特殊构造的POST请求，这可能导致敏感文件信息的泄露，这些信息通常对用户是隐藏的。

Cribelar解释说：“攻击者的最大收获就是他们发现的RCE漏洞存在于备份管理软件中。当攻击者进入一个托管所有其他机器备份的服务器时，危险便向外扩散。”

ZK是构建企业级Web应用的领先开源Java Web框架，下载量超过2百万次。

Huntress的研究人员去年秋季在一篇博客中报告，ZK框架的漏洞最早由发现，随后Code WhiteGmbH负责披露并鼓励于2022年5月发布了补丁版本。

根据Huntress的描述，Wulftange的同事FlorianHauser（）发现ZK库与ConnectWiseR1Soft服务器备份管理器软件捆绑，并尝试在2022年7月。在90天的披露标准后未得到回应后，Hauser在发布了如何复制漏洞的屏幕截图。几天后，该帖子被删除，ConnectWise随后要求研究人员使用其主页上的披露表格。

基于Hauser的推文，Huntress的研究人员自行复制了该漏洞，并扩大了概念证明的利用。去年秋季的报告中，Huntress解释了如何利用现有的POC代码来实现设备接管，并在演示环境中利用R1Soft备份服务器传播Lockbit3.0。

在更新其时，Huntress确认CISA放入的漏洞目前正在被威胁行动者所利用。

Cribelar补充说，任何使用ZK框架的组织都需要及时修补去年的漏洞，尤其是那些处理核心业务数据的应用。

ConnectWise的首席信息安全官（CISO）PatrickBeggs表示，该公司在10月份发布了针对该漏洞的修补程序，并鼓励具有本地实例的合作伙伴尽快安装补丁，