Una vulnerabilidad de omisión de autenticación de alta gravedad en un marco Java de código abierto ampliamente utilizado está siendo explotada activamente por los actores de amenazas, que están utilizando la falla para implementar puertas traseras en servidores sin parches, advierten la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y los investigadores de seguridad. .
El escenario podría plantear un importante amenaza de la cadena de suministro para cualquier software sin parches que utilice la biblioteca de Java afectada, que se encuentra en el marco web de Java ZK, dijeron los expertos.
El CISA ha añadido CVE-2022-36537, que afecta a ZK Java Web Framework versiones 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 y 8.6.4.1, a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV).
La falla, encontrada en los servlets AuUploader de ZK Framework, podría permitir a un atacante "recuperar el contenido de un archivo ubicado en el contexto web" y así robar información confidencial, según la lista de KEV. “Esta vulnerabilidad puede afectar a múltiples productos, incluidos, entre otros, ConnectWise R1Soft Server Backup Manager”, dijo CISA.
De hecho, la falla llamó la atención por primera vez en octubre de 2022 cuando ConnectWise hizo sonar una alarma sobre su existencia en sus productos, específicamente, las tecnologías de administrador de respaldo de servidor ConnectWise Recover y R1Soft. Posteriormente, los investigadores de seguridad sénior John Hammond y Caleb Stewart en Huntress publicó una entrada de blog sobre cómo se puede explotar la falla.
En una actualización de esa publicación de blog publicada al mismo tiempo que el aviso de CISA, Huntress advirtió que "la vulnerabilidad descubierta el año pasado en el software R1Soft Server Backup Manager de ConnectWise ahora se ha visto explotada en la naturaleza para implementar puertas traseras en cientos de servidores a través de CVE-2022-36537."
CISA y Huntress basaron sus advertencias en una investigación de Fox-IT publicada el 22 de febrero que encontró evidencia de un actor de amenazas que utiliza una versión vulnerable del software ConnectWise R1Soft Server Backup Manager "como punto de acceso inicial". y como una plataforma para controlar los sistemas posteriores conectados a través de R1Soft Backup Agent”, escribieron los investigadores en un blog.
“Este agente se instala en los sistemas para admitir la copia de seguridad del software del servidor R1Soft y, por lo general, se ejecuta con altos privilegios”, según la publicación. “Esto significa que después de que el adversario obtuvo acceso inicialmente a través del software del servidor R1Soft, pudo ejecutar comandos en todos los sistemas que ejecutan el agente conectado a este servidor R1Soft”.
Historia de la falla
Por su parte, ConnectWise actuó rápidamente para parchear los productos en octubre, sacando una actualización automática tanto a la nube como a las instancias de los clientes de ConnectWise Server Backup Manager (SBM), e insta a los clientes del administrador de copias de seguridad del servidor R1Soft a actualizarse inmediatamente al nuevo SBM v6.16.4.
Un investigador del proveedor de seguridad con sede en Alemania, Code White GmbH, fue el primero en identificar CVE-2022-36537 e informarlo a los mantenedores de ZK Java Web Framework en mayo de 2022. Solucionaron el problema en Versión 9.6.2 del marco.
ConnectWise se dio cuenta de la falla en sus productos cuando otro investigador de la misma compañía descubrió que la tecnología R1Soft SBM de ConnectWise estaba usando la versión vulnerable de la biblioteca ZK e informó el problema a la compañía, según la publicación del blog de Huntress.
Cuando la empresa no respondió en 90 días, el investigador se burló de algunos detalles sobre cómo se podría explotar la falla en Twitter, que los investigadores de Huntress usaron para replicar la vulnerabilidad y refinar un exploit de prueba de concepto (PoC).
Los investigadores de Huntress finalmente demostraron que podían aprovechar la vulnerabilidad para filtrar claves privadas del servidor, información de licencias de software y archivos de configuración del sistema y, finalmente, obtener la ejecución remota de código en el contexto de un superusuario del sistema.
En ese momento, los investigadores identificaron "más de 5,000 instancias de copia de seguridad del administrador del servidor expuestas a través de Shodan, todas las cuales tenían el potencial de ser explotadas por actores de amenazas, junto con sus hosts registrados", dijeron. Pero supusieron que la vulnerabilidad tenía el potencial de afectar significativamente a más máquinas que eso.
Cadena de suministro en riesgo
Cuando Huntress hizo su análisis de la falla, no hubo evidencia de explotación activa. Ahora, con ese escenario cambiado, cualquier versión sin parches de ZK Java Web Framework que se encuentre no solo en ConnectWise sino también en otros productos es un juego justo para los actores de amenazas, lo que podría crear importantes riesgo para la cadena de suministro.
La investigación de Fox-IT indica que la explotación mundial del software de servidor R1Soft de ConnectWise comenzó a fines de noviembre, poco después de que Huntress lanzara su PoC.
“Con la ayuda de la toma de huellas digitales, hemos identificado múltiples proveedores de alojamiento comprometidos a nivel mundial”, escribieron los investigadores.
De hecho, los investigadores de Fox-IT dijeron el 9 de enero que habían identificado un "total de 286 servidores que ejecutan el software de servidor R1Soft con una puerta trasera específica".
CISA insta a que cualquier organización que todavía use versiones sin parches de los productos ConnectWise afectados actualice sus productos "según las instrucciones del proveedor", según la lista de KEV. Y aunque, hasta ahora, la existencia de la falla solo se conoce en los productos ConnectWise, otro software que use versiones sin parches del marco también sería vulnerable.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/risk/cisa-zk-java-framework-rce-flaw-under-active-exploit
