CVE-2022-36537 是一个高危漏洞（CVSS评分7.5），影响 ZK Framework 版本9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1，可使攻击者通过向AuUploader 组件发送特殊构造的POST请求访问敏感信息。

CISA 对该漏洞的说明是，“ZK Framework AuUploader 伺服小程序中包含一个未明确漏洞，可导致攻击者检索位于 web 上下文中文件的内容。”该漏洞由 Markus Wulftange 在去年发现，由 ZK 公司在2022年5月5日的版本9.6.2中修复。

ZK 是用Java 编写的开源 Ajax Web 应用框架，可使web开发人员通过最小的投入和编程知识，为web应用创建用户图形界面。ZK框架广泛应用于所有类型和规模的项目中，应该该漏洞影响广泛且深远。使用ZK框架的产品案例包括ConnectWise Recover版本2.9.7及更早版本以及ConnectWise R1SoftServer Backup管理器版本6.16.3及更早版本。

CISA提到，“该漏洞类型是恶意网络人员的常见攻击向量，为联邦企业造成重大风险。”CISA 要求联邦机构在2023年3月20日之前应用安全更新，采取适当措施保护网络安全。

NCC 集团Fox-IT 团队发布报告，说明了该漏洞如何遭活跃利用。该团队指出，在最近的一次事件响应中，发现某攻击者利用CVE-2022-36537获得对 ConnectWise R1Soft Server 备份管理器软件的初始访问权限。攻击者随后控制通过R1Soft Backup Agent 控制所连接的下游系统，并部署具有后门功能的恶意数据库驱动，从而在连接该R1Soft 服务器的所有系统上执行命令。

Fox-IT 基于该事件进一步调查后发现，自2022年11月起，R1Soft 服务器软件就遭到大规模利用尝试，截止到2023年1月9日，检测到至少有286台服务器运行该后门。

不过该漏洞遭利用并不意外，因为自2022年12月起，GitHub 上就发布了多份PoC 利用。因此针对未修复 R1Soft Server 备份管理器部署的利用工具已广泛出现，管理员应尽快更新至最新版本。

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~