此个Java 开源框架存在严重漏洞

根据一份由美国CISA和美国安全部门负责人所发布的报告，强调了加强网络和基础设施安全的必要性，一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用，他们正利用该漏洞向未打补丁的服务器部署后门。专家表示，这种情况可能会对未打补丁的软件构成重大供应链威胁。

CISA已将CVE-2022-36537添加到其已知已开发漏洞（KEV）目录中，该漏洞影响ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。

根据KEV列表，在ZK框架AuUploader servlets中发现的这个漏洞，可能允许攻击者 "检索位于Web上下文中的文件内容"，从而窃取敏感信息。CISA表示：该漏洞可以影响多个产品，包括但不限于ConnectWise R1Soft Server Backup Manager。

CISA和Huntress都是根据Fox-IT2月22日发表的研究报告发出警告的，该报告发现有证据表明攻击者使用易受攻击版本的ConnectWise R1Soft Server Backup Manager软件作为初始访问点和控制通过R1Soft Backup Agent连接的下游系统的平台，研究人员在一篇博客文章中写道。

研究人员在博文中还写道：这个代理被安装在系统上，以支持被R1Soft服务器软件备份，通常以高权限运行。这意味着，在对手最初通过R1Soft服务器软件获得访问权后，它可以是能够在一个连接耦合到该R1Soft服务器的所有服务器运行客户端和代理的系统上有条不紊地执行命令。

根据Huntress的博文，ConnectWise意识到其产品的漏洞，当时同一公司的另一位研究人员发现ConnectWise的R1Soft SBM技术正在使用有漏洞的ZK库版本，并向公司报告了这个问题。这是第一个被证明存在安全漏洞的开源软件。该漏洞可能导致恶意代码执行，从而造成严重的后果。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!