0
0
Uma vulnerabilidade de desvio de autenticação de alta gravidade em uma estrutura Java de código aberto amplamente usada está sendo explorada ativamente por agentes de ameaças, que estão usando a falha para implantar backdoors em servidores não corrigidos, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e pesquisadores de segurança estão alertando .
O cenário pode representar uma ameaça significativa na cadeia de suprimentos para qualquer software não corrigido que use a biblioteca Java afetada, encontrada no ZK Java Web Framework , disseram especialistas.
A CISA adicionou CVE-2022-36537 , que afeta ZK Java Web Framework versões 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 e 8.6.4.1, ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
A falha, encontrada nos servlets ZK Framework AuUploader, pode permitir que um invasor “recupere o conteúdo de um arquivo localizado no contexto da Web” e, assim, roube informações confidenciais, de acordo com a listagem KEV . “Esta vulnerabilidade pode afetar vários produtos, incluindo, entre outros, o ConnectWise R1Soft Server Backup Manager”, disse a CISA.
De fato, a falha chamou a atenção pela primeira vez em outubro de 2022, quando ConnectWise soou um alarme sobre sua existência em seus produtos – especificamente, ConnectWise Recover e tecnologias de gerenciamento de backup de servidor R1Soft. Os pesquisadores de segurança sênior John Hammond e Caleb Stewart, da Huntress, publicaram posteriormente uma postagem no blog sobre como a falha pode ser explorada.
Em uma atualização dessa postagem de blog publicada simultaneamente com o comunicado da CISA, Huntress alertou que “a vulnerabilidade descoberta no ano passado no software R1Soft Server Backup Manager da ConnectWise agora foi explorada na natureza para implantar backdoors em centenas de servidores via CVE- 2022- 36537. “
A CISA e a Huntress basearam seus avisos em pesquisas da Fox-IT publicadas em 22 de fevereiro que encontraram evidências de um agente de ameaça usando uma versão vulnerável do software ConnectWise R1Soft Server Backup Manager “como um ponto inicial de acesso e como uma plataforma para controlar sistemas downstream conectado por meio do R1Soft Backup Agent”, escreveram os pesquisadores em um post de blog.
“Este agente é instalado em sistemas para suportar o backup do software de servidor R1Soft e normalmente é executado com altos privilégios”, de acordo com o post. “Isso significa que, depois que o adversário inicialmente obteve acesso por meio do software do servidor R1Soft, ele foi capaz de executar comandos em todos os sistemas executando o agente conectado a este servidor R1Soft”.
História da falha
De sua parte, a ConnectWise agiu rapidamente para corrigir os produtos em outubro, lançando uma atualização automática para as instâncias de nuvem e cliente do ConnectWise Server Backup Manager (SBM) e incentivando os clientes do gerenciador de backup do servidor R1Soft a atualizar imediatamente para o novo SBM v6.16.4.
Um pesquisador do fornecedor de segurança Code White GmbH, com sede na Alemanha, foi o primeiro a identificar o CVE-2022-36537 e relatá-lo aos mantenedores do ZK Java Web Framework em maio de 2022. Eles corrigiram o problema na versão 9.6.2 do framework .
A ConnectWise percebeu a falha em seus produtos quando outro pesquisador da mesma empresa descobriu que a tecnologia R1Soft SBM da ConnectWise estava usando a versão vulnerável da biblioteca ZK e relatou o problema à empresa, de acordo com a postagem no blog da Huntress.
Quando a empresa não respondeu em 90 dias, o pesquisador provocou alguns detalhes sobre como a falha poderia ser explorada no Twitter, que os pesquisadores da Huntress usaram para replicar a vulnerabilidade e refinar uma exploração de prova de conceito (PoC).
Os pesquisadores da Huntress demonstraram que poderiam aproveitar a vulnerabilidade para vazar chaves privadas do servidor, informações de licença de software e arquivos de configuração do sistema e, eventualmente, obter execução remota de código no contexto de um superusuário do sistema.
Na época, os pesquisadores identificaram “mais de 5.000 instâncias de backup de gerenciador de servidor expostas via Shodan – todas com potencial para serem exploradas por agentes de ameaças, junto com seus hosts registrados”, disseram eles. Mas eles supuseram que a vulnerabilidade tinha o potencial de impactar significativamente mais máquinas do que isso.
Cadeia de Suprimentos em Risco
Quando a Huntress fez sua análise da falha, não havia nenhuma evidência de exploração ativa. Agora, com a mudança desse cenário, qualquer versão não corrigida do ZK Java Web Framework encontrada não apenas no ConnectWise, mas também em outros produtos, é um jogo justo para agentes de ameaças, o que pode criar um risco significativo para a cadeia de suprimentos .
A pesquisa da Fox-IT indica que a exploração mundial do software de servidor R1Soft da ConnectWise começou por volta do final de novembro, logo após a Huntress lançar seu PoC.
“Com a ajuda da impressão digital, identificamos vários provedores de hospedagem comprometidos globalmente”, escreveram os pesquisadores.
Na verdade, os pesquisadores da Fox-IT disseram em 9 de janeiro que identificaram um “total de 286 servidores executando o software de servidor R1Soft com um backdoor específico”.
A CISA está pedindo que todas as organizações que ainda usam versões não corrigidas dos produtos ConnectWise afetados atualizem seus produtos “de acordo com as instruções do fornecedor”, de acordo com a listagem KEV. E embora, até agora, a existência da falha seja conhecida apenas nos produtos ConnectWise, outros softwares que usam versões não corrigidas da estrutura também seriam vulneráveis.
FONTE: DARK READING