CISA adiciona vulnerabilidade de alta gravidade ao catálogo de Known Exploited Vulnerabilities

A Cybersecurity and Infrastructure Security Agency (CISA) adicionou uma vulnerabilidade de alta gravidade no Java ZK Framework ao catálogo de Known Exploited Vulnerabilities (KEV). A CVE-2022-36537 pode resultar na execução remota de código e possui uma pontuação CVSS de 7.5.

A ZK é uma das principais Java Web frameworks de open-source para a construção de aplicações web corporativas, com mais de dois milhões de downloads. A vulnerabilidade existe devido a uma solicitação POST que pode levar à fuga de informações de arquivos sensíveis normalmente ocultos para os utilizadores. 

Investigadores da Huntress relataram no final do ano passado que a vulnerabilidade foi primeiro descoberta por Markus Wulftange da Code White GmbH, que encorajou o lançamento da versão corrigida 9.7.2 do ZK em maio de 2022. Florian Hauser, da mesma empresa, viu que a biblioteca ZK estava ligada ao software ConnectWise R1Soft Server Backup Manager. O CISO da ConnectWise, Patrick Beggs, disse que a empresa emitiu um patch para a falha em outubro, contudo, no fim de fevereiro, a Huntress confirmou que a vulnerabilidade que a CISA colocou no catálogo KEV está a ser explorada por atores maliciosos. 

Numa publicação citada pela SC Magazine, Ryan Cribelar da Nucleus Security diz que a CISA adicionou a vulnerabilidade ao catálogo depois da FOX IT reportar centenas de servidores ConnectWise R1Soft Server Backup Manager a serem explorados. “A cereja no topo do bolo para os atacantes foi que o software em que encontraram a vulnerabilidade RCE é um software de gestão de backup”, explicou Ryan Cribelar.