内存安全周报第129期 | CISA警告ZK Java Web框架漏洞正在被积极利用

该漏洞为CVE-2022-36537（CVSS评分：7.5），影响ZK框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本，还允许威胁者利用特别构造的请求检索敏感信息。

CISA说："ZK框架是一个开源的Java框架，因此这一漏洞会影响多个产品，包括但不限于ConnectWise R1Soft Server Backup Manager。"

2022年5月发布的9.6.2、9.6.0.2、9.5.1.4、9.0.1.3和8.6.4.2版本都修补了该漏洞。

Huntress在2022年10月份进行了概念验证（PoC），发现该漏洞可以被用来绕过身份验证，并上传一个后门JDBC数据库驱动程序以获得代码执行，还会在易受影响的端点上部署勒索软件。

总部位于新加坡的Numen Cyber Labs在2022年12月发布了自己的PoC，除此之外，还警告说，发现了超过4000个服务器备份管理器实例被暴露在互联网上。

自此，该漏洞被大规模利用。上周NCC集团的Fox-IT研究团队就验证了这一说法，他们获得了初始访问权，在286台服务器上部署了一个web shell后门。  大部分受影响的设备来自美国、韩国、英国、加拿大、西班牙、哥伦比亚、马来西亚、意大利、印度和巴拿马。截至2023年2月20日，仍然存在后门的R1Soft服务器总共有146台。

Fox-IT说："攻击者在入侵时可以获取VPN配置文件、IT管理信息和其他敏感文件。"

参考链接

https://thehackernews.com/2023/02/cisa-issues-warning-on-active.html?&web_view=true

二、Aruba Networks修复了ArubaOS中的六个严重漏洞（3.1）

Aruba Networks发布了一份安全公告，告知客户其专有的网络操作系统ArubaOS多个版本存在六个严重的漏洞。

详细情况

这些漏洞影响了Aruba Mobility Conductor、Aruba Mobility Controller以及Aruba管理的WLAN网关和SD-WAN网关。

Aruba Networks是Hewlett Packard Enterprise在加州的子公司，专门从事计算机网络和无线连接解决方案。

Aruba这次解决的关键漏洞可以划分为两类：PAPI协议（Aruba Networks接入点管理协议）中的命令注入漏洞和基于堆栈的缓冲区溢出漏洞。

命令注入漏洞被追踪为CVE-2023-22747、CVE-2023-22748、CVE-2023-22749和CVE-2023-22750，CVSS v3评分为9.8（满分10.0）。

未经身份验证的远程攻击者可以通过 UDP 端口 8211 向 PAPI 发送特别构造的数据包来利用它们，从而以特权用户身份在 ArubaOS 上执行任意代码。

基于堆栈的缓冲区溢出漏洞被追踪为CVE-2023-22751和CVE-2023-22752，CVSS v3评级为9.8。

受影响的版本是：

ArubaOS 8.6.0.19及以下；

ArubaOS 8.10.0.4及以下；

ArubaOS 10.3.1.0及以下；

SD-WAN 8.7.0.0-2.3.0.8及以下。

Aruba认为，应该升级到的版本有：

ArubaOS 8.10.0.5及以上；

ArubaOS 8.11.0.0及以上；

ArubaOS 10.3.1.1及以上；

SD-WAN 8.7.0.0-2.3.0.9及以上版本。

不幸的是，几个已达到产品寿命结束 (EoL) 的产品版本也受到这些漏洞的影响，并且不会收到修复更新。这些版本有：

ArubaOS 6.5.4.x

ArubaOS 8.7.x.x

ArubaOS 8.8.x.x

ArubaOS 8.9.x.x

SD-WAN 8.6.0.4-2.2.x.x

如果系统管理员无法进行应用安全更新或正在使用EoL设备，可以采用非默认密钥启用 "增强型PAPI安全 "模式。

但是这些缓解措施并不能解决Aruba安全公告中列出的另外15个高危和8个中危漏洞，新版本修复了这些漏洞。

参考链接

https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/