重大供应链威胁！这个 Java 开源框架存在严重漏洞

美国网络安全和基础设施安全局（CISA）和安全研究人员报告称，重大重漏一个受广泛使用的链威开源Java框架中存在严重漏洞并被攻击者利用，他们正利用该漏洞向未打补丁的开源框架服务器部署后门。专家表示，存严这种情况可能会对未打补丁的重大重漏软件构成重大供应链威胁。

CISA已将CVE-2022-36537添加到其已知已开发漏洞（KEV）目录中 ，链威该漏洞影响ZK Java Web框架9.6.1、开源框架9.6.0.1、存严9.5.1.3、重大重漏9.0.1.2和8.6.4.1版本。链威

根据KEV列表，开源框架在ZK框架AuUploader servlets中发现的存严这个漏洞 ，可能允许攻击者 "检索位于Web上下文中的高防服务器重大重漏文件内容"
，从而窃取敏感信息。链威CISA表示 ：该漏洞可以影响多个产品 ，开源框架包括但不限于ConnectWise R1Soft Server Backup Manager。

事实上，该漏洞在2022年10月首次出现便引起广泛关注 
，当时ConnectWise对其产品中漏洞的存在发出了警报，特别是ConnectWise Recover和R1Soft服务器备份管理器技术。Huntress的高级安全研究人员John Hammond和Caleb Stewart随后发表了一篇关于如何利用该漏洞的博文。

CISA和Huntress都是根据Fox-IT 2月22日发表的研究报告发出警告的香港云服务器，该报告发现有证据表明攻击者使用易受攻击版本的ConnectWise R1Soft Server Backup Manager软件 作为初始访问点和控制通过R1Soft Backup Agent连接的下游系统的平台，研究人员在一篇博客文章中写道
。

研究人员在博文中还写道 ：这个代理被安装在系统上，以支持被R1Soft服务器软件备份，通常以高权限运行。这意味着 ，在对手最初通过R1Soft服务器软件获得访问权后 ，它能够在连接到该R1Soft服务器的所有运行代理的系统上执行命令。

漏洞的历史

ConnectWise方面在10月迅速采取行动为产品打补丁，免费模板向ConnectWise服务器备份管理器（SBM）的云端和客户端实例推送了自动更新 ，并敦促R1Soft服务器备份管理器的客户立即升级到新的SBM v6.16.4。

总部位于德国的安全厂商Code White GmbH的一名研究人员率先发现了CVE-2022-36537 ，并在2022年5月向ZK Java Web框架的维护者报告。他们在该框架的9.6.2版本中修复了这个问题。

根据Huntress的博文，ConnectWise意识到其产品的漏洞，云计算当时同一公司的另一位研究人员发现ConnectWise的R1Soft SBM技术正在使用有漏洞的ZK库版本，并向公司报告了这个问题 。

当该公司在90天内没有回应时
，研究人员在Twitter上公布了一些关于如何利用该漏洞的细节，Huntress的研究人员利用这些细节复制了该漏洞并完善了一个概念验证（PoC）漏洞。

Huntress的研究人员最终证明他们可以利用该漏洞泄露服务器私钥、软件许可信息和系统配置文件
，并最终在系统超级用户的背景下获得远程代码执行。

当时 ，亿华云研究人员通过Shodan发现了 多达5000个暴露的服务器管理器备份实例  ，所有这些都有可能被威胁者利用，同时还有他们的注册主机。他们推测 ，该漏洞有可能影响到比这更多的机器。

供应链面临风险

当Huntress对该漏洞进行分析时 ，没有证据表明存在主动利用的情况。现在 ，随着这种情况的改变，不仅在ConnectWise，在其他产品中也存在任何未打补丁的模板下载ZK Java Web框架版本 。这对攻击者来说无疑是利好的，同时这可能给供应链带来重大风险。

Fox-IT的研究表明，全世界对ConnectWise的R1Soft服务器软件的利用大约始于11月底，也就是Huntress发布其PoC之后不久
。

研究人员写道 ：在指纹识别的帮助下
，我们已经在全球范围内确定了多个被攻击的主机供应商
 。

Fox-IT研究人员在1月9日说，他们已经确定了 总共有286台运行R1Soft服务器软件的服务器带有特定后门
。

根据KEV列表，CISA敦促任何仍在使用受影响ConnectWise产品的未修补版本的组织“根据供应商说明”更新其产品 。虽然到目前为止，该漏洞的存在仅在ConnectWise产品中被发现，但使用未修补版本的框架的其他软件也容易受到攻击 。