Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) πρόσθεσε το CVE-2022-36537 στον “Κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών” αφότου οι φορείς απειλών άρχισαν να εκμεταλλεύονται ενεργά το ελάττωμα της απομακρυσμένης εκτέλεσης κώδικα (RCE) στις επιθέσεις.

Το CVE-2022-36537 είναι ένα ελάττωμα υψηλής σοβαρότητας (CVSS v3.1: 7.5) που επηρεάζει τις εκδόσεις 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 και 8.6.4.1 του ZK Framework, επιτρέποντας στους εισβολείς να έχουν πρόσβαση σε ευαίσθητες πληροφορίες στέλνοντας ένα ειδικά κατασκευασμένο Αίτημα POST στο στοιχείο AuUloader.

“Οι εξυπηρετητές ZK Framework AuUloader περιέχουν μια απροσδιόριστη ευπάθεια που θα μπορούσε να επιτρέψει σε έναν εισβολέα να ανακτήσει το περιεχόμενο ενός αρχείου που βρίσκεται στο πλαίσιο του ιστού”, αναφέρει η περιγραφή του ελαττώματος από την CISA.

Το ελάττωμα ανακαλύφθηκε πέρυσι από τον Markus Wulftange και αντιμετωπίστηκε από τον ZK στις 05 Μαΐου 2022, με έκδοση 9.6.2.

Το ZK είναι ένα πλαίσιο εφαρμογών Web Ajax ανοιχτού κώδικα γραμμένο σε Java, που επιτρέπει στους προγραμματιστές ιστού να δημιουργούν γραφικές διεπαφές χρήστη για εφαρμογές web με ελάχιστη προσπάθεια και γνώσεις προγραμματισμού.

Το πλαίσιο ZK χρησιμοποιείται ευρέως σε έργα όλων των τύπων και μεγεθών, επομένως ο αντίκτυπος του ελαττώματος είναι ευρέως διαδεδομένος και εκτεταμένος.

Αξιοσημείωτα παραδείγματα προϊόντων που χρησιμοποιούν το πλαίσιο ZK περιλαμβάνουν το ConnectWise Recover, έκδοση 2.9.7 και παλαιότερη, και το ConnectWise R1SoftServer Backup Manager, έκδοση 6.16.3 και παλαιότερες.

“Αυτός ο τύπος ευπάθειας είναι ένας συχνός φορέας επίθεσης για κακόβουλους φορείς του κυβερνοχώρου και αποτελεί σημαντικό κίνδυνο για την ομοσπονδιακή επιχείρηση” -CISA.

Η CISA όρισε την προθεσμία για την εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας έως τις 20 Μαρτίου 2023, δίνοντας στις ομοσπονδιακές υπηρεσίες περίπου τρεις εβδομάδες για να ανταποκριθούν στον κίνδυνο ασφάλειας και να λάβουν τα κατάλληλα μέτρα για την ασφάλεια των δικτύων τους.