美國網絡安全和基礎設施安全局（CISA）和安全研究人員報告稱，一個受廣泛使用的開源Java框架中存在嚴重漏洞并被攻擊者利用，他們正利用該漏洞向未打補丁的服務器部署后門。專家表示，這種情況可能會對未打補丁的軟件構成重大供應鏈威脅。

CISA已將CVE-2022-36537添加到其已知已開發漏洞（KEV）目錄中，該漏洞影響ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。

根據KEV列表，在ZK框架AuUploader servlets中發現的這個漏洞，可能允許攻擊者 "檢索位于Web上下文中的文件內容"，從而竊取敏感信息。CISA表示：該漏洞可以影響多個產品，包括但不限于ConnectWise R1Soft Server Backup Manager。

事實上，該漏洞在2022年10月首次出現便引起廣泛關注，當時ConnectWise對其產品中漏洞的存在發出了警報，特別是ConnectWise Recover和R1Soft服務器備份管理器技術。Huntress的高級安全研究人員John Hammond和Caleb Stewart隨后發表了一篇關于如何利用該漏洞的博文。

CISA和Huntress都是根據Fox-IT 2月22日發表的研究報告發出警告的，該報告發現有證據表明攻擊者使用易受攻擊版本的ConnectWise R1Soft Server Backup Manager軟件 作為初始訪問點和控制通過R1Soft Backup Agent連接的下游系統的平臺，研究人員在一篇博客文章中寫道。

研究人員在博文中還寫道：這個代理被安裝在系統上，以支持被R1Soft服務器軟件備份，通常以高權限運行。這意味著，在對手最初通過R1Soft服務器軟件獲得訪問權后，它能夠在連接到該R1Soft服務器的所有運行代理的系統上執行命令。

漏洞的歷史

ConnectWise方面在10月迅速采取行動為產品打補丁，向ConnectWise服務器備份管理器（SBM）的云端和客戶端實例推送了自動更新，并敦促R1Soft服務器備份管理器的客戶立即升級到新的SBM v6.16.4。

總部位于德國的安全廠商Code White GmbH的一名研究人員率先發現了CVE-2022-36537，并在2022年5月向ZK Java Web框架的維護者報告。他們在該框架的9.6.2版本中修復了這個問題。

根據Huntress的博文，ConnectWise意識到其產品的漏洞，當時同一公司的另一位研究人員發現ConnectWise的R1Soft SBM技術正在使用有漏洞的ZK庫版本，并向公司報告了這個問題。

當該公司在90天內沒有回應時，研究人員在Twitter上公布了一些關于如何利用該漏洞的細節，Huntress的研究人員利用這些細節復制了該漏洞并完善了一個概念驗證（PoC）漏洞。

Huntress的研究人員最終證明他們可以利用該漏洞泄露服務器私鑰、軟件許可信息和系統配置文件，并最終在系統超級用戶的背景下獲得遠程代碼執行。

當時，研究人員通過Shodan發現了 多達5000個暴露的服務器管理器備份實例，所有這些都有可能被威脅者利用，同時還有他們的注冊主機。他們推測，該漏洞有可能影響到比這更多的機器。

供應鏈面臨風險

當Huntress對該漏洞進行分析時，沒有證據表明存在主動利用的情況。現在，隨著這種情況的改變，不僅在ConnectWise，在其他產品中也存在任何未打補丁的ZK Java Web框架版本。這對攻擊者來說無疑是利好的，同時這可能給供應鏈帶來重大風險。

Fox-IT的研究表明，全世界對ConnectWise的R1Soft服務器軟件的利用大約始于11月底，也就是Huntress發布其PoC之后不久。

研究人員寫道：在指紋識別的幫助下，我們已經在全球范圍內確定了多個被攻擊的主機供應商。

Fox-IT研究人員在1月9日說，他們已經確定了 總共有286臺運行R1Soft服務器軟件的服務器帶有特定后門。

根據KEV列表，CISA敦促任何仍在使用受影響ConnectWise產品的未修補版本的組織“根據供應商說明”更新其產品。雖然到目前為止，該漏洞的存在僅在ConnectWise產品中被發現，但使用未修補版本的框架的其他軟件也容易受到攻擊。