أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عيوبًا شديدة الخطورة تؤثر على إطار عمل ZK إلى كتالوج نقاط الضعف المستغلة المعروفة (KEV) بناءً على دليل على الاستغلال النشط.
تم تتبع المشكلة كـ CVE-2022-36537 (درجة CVSS: 7.5)، تؤثر المشكلة على إصدارات ZK Framework 9.6.1 و 9.6.0.1 و 9.5.1.3 و 9.0.1.2 و 8.6.4.1 وتسمح للجهات الفاعلة في التهديد باسترداد المعلومات الحساسة. بناء على طلب معد خصيصا.
تقول CISA: إن إطار عمل ZK هو إطار عمل جافا مفتوح المصدر. قد تؤثر هذه الثغرة الأمنية على العديد من المنتجات بما في ذلك على سبيل المثال لا الحصر ConnectWise R1Soft Server Backup Manager.
تم إصلاح الثغرة الأمنية في الإصدارات 9.6.2 و 9.6.0.2 و 9.5.1.4 و 9.0.1.3 و 8.6.4.2 في مايو 2022.
كما هو موضح في إثبات المفهوم (PoC) من Huntress في أكتوبر 2022، يمكن تسليح الثغرة لتجاوز المصادقة، وتحميل برنامج تشغيل قاعدة بيانات JDBC خلف باب لتنفيذ التعليمات البرمجية، ونشرها على نقاط النهاية الحساسة.
بالإضافة إلى إطلاق PoC الخاص بها في ديسمبر 2022، حذرت Numen Cyber Labs ومقرها سنغافورة من أنها عثرت على أكثر من 4000 نسخة من Server Backup Manager على الإنترنت.
كما أوضح فريق أبحاث Fox-IT التابع لمجموعة NCC، الأسبوع الماضي، تم استغلال الثغرة الأمنية منذ ذلك الحين على نطاق واسع، واكتسبت وصولًا أوليًا ونشرت بابًا خلفيًا على الويب على 286 خادمًا.
حدثت معظم الإصابات في الولايات المتحدة وكوريا الجنوبية والمملكة المتحدة وكندا وإسبانيا وكولومبيا وماليزيا وإيطاليا والهند وبنما. اعتبارًا من 20 فبراير 2023، تم الاحتفاظ بسرية إجمالي 146 خادمًا من R1Soft.
وقالت Fox-IT إنه خلال التسوية، تمكن الخصم من سرقة ملفات تكوين VPN ومعلومات إدارة تكنولوجيا المعلومات وغيرها من الملفات الحساسة.