ConnectWise_Recovery_ZK_Framework脆弱性

ConnectWise_Recovery_ZK_Framework脆弱性

2023年3月1日：利用ZK框架进行Java web开发的ConnectWise Recover和R1Software中发现多个漏洞。这些漏洞允许任意代码执行、权限升级，并可能使黑客能够通过远程备份服务部署勒索软件/后门。

建议：立即修补受影响的系统，并进行调查，以确保黑客尚未破坏网络。

ConnectWise Recover和R1Soft风险概述：

ConnectWise R1Soft Server Backup Manager软件的易受攻击版本中存在CVE-2022-36537漏洞。底层漏洞与ZK框架有关。这是一个用于创建web应用程序的开源Java框架。

ConnectWise在其流行的R1Soft和Recovery产品中使用ZK框架。该漏洞用于远程代码执行和安装可能包含远程访问功能的恶意驱动程序。一旦成功入侵，攻击者就能够在连接到R1Soft服务器的运行ConnectWise备份代理的所有系统上执行命令。


此ConnectWise咨询和CVE-2022-36537的NVD条目将该漏洞报告为信息泄露漏洞。Rapid7认为，这一分类大大低估了CVE-2022-36537的风险和影响。CyberHoot和Rapid7认为这低估了这种风险的严重性。相反，我们建议您对受影响的系统进行紧急评估和修补。


此外，还有其他ZK框架集成可能会在未来几天或几周内出现。请检查您的环境，以了解使用公开的JavaZK框架的任何其他解决方案。

受影响的ConnectWise系统


ConnectWise Recover：Recover v2.9.7及更早版本受到影响。


R1Soft:SBM v6.16.3及更早版本受到影响。


你应该怎么做？


公司应检查其硬件和软件资产清单，以查找ZK框架的使用情况。如果您有风险，请立即修补。


查看漏洞扫描数据以了解更多风险。在所有情况下，请遵循漏洞警报管理流程（VAMP），并根据所需的时间表进行修补。


对于CyberHoot vCISO客户端，这是一个严重的问题，应在发现时立即进行修补，因为多个设备和系统存在严重影响的潜在风险。

ConnectWise可能已经修补了某些系统：


根据ConnectWise的建议，受影响的ConnectWise Recover SBM已自动更新到Recover的最新版本（v2.9.9）。但是，对于R1Soft，请使用ConnectWise中的R1Soft升级wiki将服务器备份管理器升级到2022年10月28日发布的SBM v6.16.4。

预期的其他ZK框架问题：


ZK框架是一个用于创建web应用程序的开源Java框架。因为我们知道ConnectWise使用这个框架，所以我们知道有补丁可以应用。可能还有许多其他Web应用程序使用这个Java框架。请独立于CyberHoot、ConnectWise或其他机构的建议评估您的web应用程序风险，以确定您的组织面临的其他风险点。