CISA warns of hackers exploiting ZK Java Framework RCE flaw
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่ม CVE-2022-36537 ลงใน Known Exploited Vulnerabilities Catalog หลังจากที่ผู้โจมตีเริ่มใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีแบบ Remote Code Execution (RCE) CVE-2022-36537 เป็นช่องโหว่ที่มีความรุนแรงระดับ High และมีคะแนน CVSS 7.5 ซึ่งส่งผลกระทบต่อ ZK Framework เวอร์ชัน 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 และ 8.6.4.1 ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ โดยส่งคำขอ POST ที่สร้างขึ้นเป็นพิเศษไปยังส่วนประกอบ AuUploader ซึ่งอาจทำให้ผู้โจมตีสามารถขโมยเนื้อหาของไฟล์ที่อยู่ในเว็บได้
ZK Framework เป็นแอปแบบโอเพ่นซอร์สที่เขียนด้วยภาษา Java ทำให้นักพัฒนาเว็บสามารถสร้างอินเทอร์เฟซผู้ใช้สำหรับเว็บแอปพลิเคชันได้แม้ว่าจะมีความรู้ด้านการเขียนโปรแกรมเพียงเล็กน้อย ด้วยเหตุผลนี้ ZK Framework จึงถูกนำมาใช้อย่างแพร่หลายทำให้ผลกระทบของช่องโหว่นี้แพร่หลายเป็นวงกว้าง การเพิ่มช่องโหว่นี้ใน Known Exploited Vulnerabilities Catalog ของ CISA เกิดขึ้นหลังจากที่ทีม Fox-IT ของ NCC Group เผยแพร่รายงานที่อธิบายว่าช่องโหว่ดังกล่าวถูกใช้ในการโจมตีอย่างไร
จากข้อมูลของ Fox-IT พบว่ามีผู้โจมตีใช้ประโยชน์จาก CVE-2022-36537 เพื่อเข้าถึงซอฟต์แวร์ ConnectWise R1Soft Server Backup Manager ในเบื้องต้น จากนั้นผู้โจมตีได้ย้ายไปควบคุมระบบดาวน์สตรีมที่เชื่อมต่อผ่าน R1Soft Backup Agent และปรับใช้ไดรเวอร์ฐานข้อมูลที่เป็นอันตรายพร้อมฟังก์ชันแบ็คดอร์ ทำให้พวกเขาสามารถดำเนินการคำสั่งบนระบบทั้งหมดที่เชื่อมต่อกับเซิร์ฟเวอร์ R1Soft นั้นได้
https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-zk-java-framework-rce-flaw/