CISA Issues Warning on Active Exploitation of ZK Java Web Framework Vulnerability
2023/02/28 TheHackerNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ZK フレームワークに影響を及ぼす深刻な欠陥が活発に悪用されているとし、Known Exploited Vulnerabilities (KEV) カタログに追加したことを発表した。この脆弱性 CVE-2022-36537 (CVSS: 7.5) は、ZK Framework バージョン 9.6.1/ 9.6.0.1/9.5.1.3/9.0.1.2/8.6.4.1 に影響を及ぼすものであり、特別に細工したリクエストを介して、驚異アクターに機密情報の取得を許すものである。
CISA は、「ZK Framework は、オープンソースの Java フレームワークである。この脆弱性の影響範囲には、ConnectWise の R1Soft Server Backup Manager が含まれるが、それに限定されない複数の製品に影響を与える可能性がある」と述べている。
この ZK Framework の脆弱性は、2022年5月にバージョン 9.6.2/9.6.0.2/9.5.1.4/9.0.1.3/8.6.4.2 がリリースされ、パッチが適用されている。
2022年10月に Huntress の PoC エクスプロイトで示されたように、この脆弱性を武器にして認証を回避して、バックドア化した JDBC データベース・ドライバーをアップロードすることが可能である。それに続いて、コードを実行うる権限を獲得し、影響を受けやすいエンドポイントにランサムウェアを展開することなどが可能となる。
シンガポールに拠点を置く Numen Cyber Labs も、2022年12月に独自の PoC エクスプロイトを公開しているが、その一方で、インターネット上に公開された 4,000以上の Server Backup Manager インスタンスを発見したと注意を呼びかけている。
先週には NCC Group の Fox-IT 調査チームが、286台のサーバのイニシャル・アクセスが取得され、Web シェル・バックドアを展開されているという、この脆弱性が大量に悪用されている状況を明らかにした。
感染の大部分は、米国/韓国/英国/カナダ/スペイン/コロンビア/マレーシア/イタリア/インド/パナマなどの国々で限定されている。2023年2月20日の時点において、合計で 146台の R1Soft サーバがバックドア化された状態にあるという。
Fox-IT は、「侵害の過程で敵対者は、VPN 設定ファイル/I T管理情報などの、機密データを流出させることが可能だった」と述べている。
ZK Java Web Framework の脆弱性が悪用されているとのことで、CISA の KEV リストに加えられました。詳しくは、2023/02/22 の「R1Soft Server Backup Manager にバックドア:2022年5月の脆弱性 CVE-2022-36537 が要因」を、ご参照ください。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.