Aanvallers zijn erin geslaagd om honderden servers waarop de R1Soft Server Backup Manager draait te voorzien van een backdoor en via de software verbonden clients aan te vallen. Dat stelt securitybedrijf Fox-IT op basis van eigen onderzoek. Server Backup Manager is een oplossing waarmee organisaties back-ups van werkstations en andere systemen binnen hun netwerk kunnen maken. Hiervoor wordt er een "agent" op de systemen geïnstalleerd die met verhoogde rechten draait en voor de connectie met de back-upserver zorgt.

Vorig jaar mei verscheen er een beveiligingsupdate voor een kwetsbaarheid in het ZK Java Framework (CVE-2022-36537). De R1Soft Server Backup Manager blijkt van het ZK Framework gebruik te maken en onderzoekers demonstreerden afgelopen oktober hoe de kwetsbaarheid is te gebruiken om de authenticatie te omzeilen en vervolgens willekeurige code uit te voeren op de server en alle verbonden agents.

Fox-IT deed naar eigen zeggen onderzoek bij een organisatie waar de aanvallers via een kwetsbare back-upserver waren binnengedrongen en vervolgens toegang tot verbonden systemen hadden gekregen. Verder onderzoek wees uit dat de aanvallers al op 29 november misbruik van de kwetsbaarheid hadden gemaakt. Op 9 december verschenen er proof-of-concept exploits voor het beveiligingslek.

Op kwetsbare back-upservers installeerden aanvallers een malafide driver die als backdoor fungeert. Onderzoekers ontdekten vorige maand 286 R1Soft-servers die van de backdoor waren voorzien. Het grootste deel daarvan werd in de Verenigde Staten, Zuid-Korea en het Verenigd Koninkrijk aangetroffen. Fox-IT waarschuwde het Nationaal Cyber Security Centrum (NCSC), dat vervolgens nationale Computer Emergency Response Teams informeerde, zodat die weer de getroffen organisaties konden inlichten. Hierdoor is het aantal back-upservers met een backdoor inmiddels naar 146 gedaald.