Nền tảng phần mềm quản lý dịch vụ CNTT ConnectWise đã phát hành các bản vá phần mềm cho một lỗ hổng bảo mật nghiêm trọng trong Recover và R1Soft Server Backup Manager (SBM).
Vấn đề, được đặc trưng là "trung hòa các yếu tố đặc biệt trong đầu ra được sử dụng bởi một thành phần hạ nguồn", có thể bị lạm dụng để dẫn đến việc thực thi mã từ xa hoặc tiết lộ thông tin nhạy cảm.
Lời khuyên của ConnectWise lưu ý rằng lỗ hổng ảnh hưởng đến Recover v2.9.7 trở về trước, cũng như R1Soft SBM v6.16.3 trở về trước, bị ảnh hưởng bởi lỗ hổng nghiêm trọng.
Về cốt lõi, vấn đề gắn liền với lỗ hổng bỏ qua xác thực ngược dòng trong khung ứng dụng web Ajax mã nguồn mở ZK (CVE-2022-36537), ban đầu được vá vào tháng 5 năm 2022.
"Các SBM ConnectWise Recover bị ảnh hưởng đã tự động được cập nhật lên phiên bản mới nhất của Recover (v2.9.9)," công ty cho biết và kêu gọi khách hàng nâng cấp lên SBM v6.16.4 được xuất xưởng vào ngày 28 tháng 10 năm 2022.
Công ty an ninh mạng Huntress cho biết họ đã xác định được "hơn 5.000 phiên bản sao lưu trình quản lý máy chủ bị lộ", có khả năng khiến các công ty gặp rủi ro về chuỗi cung ứng.
Mặc dù không có bằng chứng về việc khai thác tích cực lỗ hổng trong tự nhiên, nhưng bằng chứng về khái niệm do các nhà nghiên cứu Huntress John Hammond và Caleb Stewart nghĩ ra cho thấy rằng nó có thể bị lạm dụng để bỏ qua xác thực, đạt được thực thi mã từ xa trên SBM và đẩy ransomware LockBit 3.0 đến tất cả các điểm cuối hạ nguồn.
"Điều quan trọng cần lưu ý là lỗ hổng ZK ngược dòng không chỉ ảnh hưởng đến R1Soft mà còn bất kỳ ứng dụng nào sử dụng phiên bản chưa vá của khung ZK," các nhà nghiên cứu cho biết.
"Việc truy cập kẻ tấn công có thể đạt được bằng cách sử dụng lỗ hổng bỏ qua xác thực này là dành riêng cho ứng dụng đang bị khai thác, tuy nhiên có khả năng nghiêm trọng cho các ứng dụng khác bị ảnh hưởng theo cách tương tự như R1Soft Server Backup Manager."