Το νέο κρίσιμο σφάλμα PaperCut εκθέτει τους μη επιδιορθωμένους διακομιστές σε επιθέσεις RCE
Το PaperCut διόρθωσε πρόσφατα μια κρίσιμη ευπάθεια ασφαλείας στο λογισμικό διαχείρισης εκτυπώσεων NG/MF που επιτρέπει σε μη εξακριβωμένους εισβολείς να αποκτούν απομακρυσμένη εκτέλεση κώδικα σε διακομιστές Windows που δεν έχουν επιδιορθωθεί.
Παρακολούθηση ως
CVE-2023-39143
το ελάττωμα προκύπτει από μια αλυσίδα δύο αδυναμιών διέλευσης μονοπατιών που ανακαλύφθηκαν από ερευνητές ασφαλείας του Horizon3, οι οποίες επιτρέπουν στους παράγοντες απειλής να διαβάζουν, να διαγράφουν και να ανεβάζουν αυθαίρετα αρχεία σε παραβιασμένα συστήματα μετά από επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Ενώ επηρεάζει μόνο διακομιστές σε μη προεπιλεγμένες διαμορφώσεις όπου η ρύθμιση ενσωμάτωσης εξωτερικής συσκευής είναι εναλλαγή, το Horizon3 ανέφερε σε μια αναφορά που δημοσιεύθηκε την Παρασκευή ότι οι περισσότεροι διακομιστές Windows PaperCut την έχουν ενεργοποιήσει.
“Αυτή η ρύθμιση είναι ενεργοποιημένη από προεπιλογή σε ορισμένες εγκαταστάσεις του PaperCut, όπως η έκδοση PaperCut NG Commercial ή το PaperCut MF”, είπε το Horizon3.
“Με βάση δείγματα δεδομένων που έχουμε συλλέξει στο Horizon3 από περιβάλλοντα πραγματικού κόσμου, εκτιμούμε ότι η συντριπτική πλειονότητα των εγκαταστάσεων PaperCut εκτελούνται σε Windows με ενεργοποιημένη τη ρύθμιση ενοποίησης εξωτερικής συσκευής.”
Μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να ελέγξετε εάν ένας διακομιστής είναι ευάλωτος σε επιθέσεις CVE-2023-39143 και εκτελείται σε Windows (μια απόκριση 200 υποδηλώνει ότι ο διακομιστής χρειάζεται ενημέρωση κώδικα):
curl -w "%{http_code}" -k --path-as-is "https://<IP>:<port>/custom-report-example/......deploymentsharpiconshome-app.png"
Οι διαχειριστές που δεν μπορούν να εγκαταστήσουν αμέσως ενημερώσεις ασφαλείας (όπως συμβουλεύει το Horizon3) μπορούν να προσθέσουν μόνο τις διευθύνσεις IP που χρειάζονται πρόσβαση σε μια λίστα επιτρεπόμενων χρησιμοποιώντας
αυτές τις οδηγίες
.
ΕΝΑ
Αναζήτηση Shodan
δείχνει ότι περίπου 1.800 διακομιστές PaperCut είναι επί του παρόντος εκτεθειμένοι στο διαδίκτυο, αν και δεν είναι όλοι ευάλωτοι σε επιθέσεις CVE-2023-39143.
Οι διακομιστές εκτύπωσης PaperCut εκτέθηκαν στο διαδίκτυο (Shodan)
Στοχεύονται συμμορίες ransomware, κρατικοί χάκερ
Οι διακομιστές PaperCut στοχοποιήθηκαν από πολλές συμμορίες ransomware νωρίτερα αυτό το έτος, εκμεταλλευόμενοι μια άλλη κρίσιμη μη επαληθευμένη ευπάθεια RCE (CVE-2023–27350) και ένα ελάττωμα αποκάλυψης πληροφοριών υψηλής σοβαρότητας (CVE-2023–27351).
Η εταιρεία αποκάλυψε στις 19 Απριλίου ότι αυτά τα τρωτά σημεία εκμεταλλεύονται ενεργά σε επιθέσεις,
προτρέποντας
διαχειριστές και ομάδες ασφαλείας να αναβαθμίσουν επειγόντως τους διακομιστές τους.
Λίγες ημέρες μετά την αρχική αποκάλυψη, οι ερευνητές ασφαλείας του Horizon3 κυκλοφόρησαν ένα RCE Proof-of-Concept (PoC) exploit, ανοίγοντας την πόρτα σε πρόσθετους παράγοντες απειλών για να στοχεύσουν ευάλωτους διακομιστές.
Η Microsoft συνέδεσε τις επιθέσεις που στόχευαν τους διακομιστές PaperCut με τις συμμορίες ransomware Clop και LockBit, οι οποίοι χρησιμοποιούσαν την πρόσβαση για να κλέψουν εταιρικά δεδομένα από παραβιασμένα συστήματα.
Σε αυτές τις επιθέσεις κλοπής δεδομένων, η λειτουργία ransomware εκμεταλλεύτηκε το «
Εκτύπωση Αρχειοθέτησης
λειτουργία που αποθηκεύει όλα τα έγγραφα που αποστέλλονται μέσω των διακομιστών εκτύπωσης PaperCut.
Σχεδόν δύο εβδομάδες μετά, η Microsoft αποκάλυψε ότι οι υποστηριζόμενες από το ιρανικό κράτος ομάδες χάκερ που παρακολουθούνταν ως Muddywater και APT35 συμμετείχαν επίσης στη συνεχιζόμενη επίθεση.
CISA
πρόσθεσε το σφάλμα CVE-2023–27350 RCE
στη λίστα με τα τρωτά σημεία που εκμεταλλεύτηκαν ενεργά στις 21 Απριλίου, με εντολή όλων των ομοσπονδιακών υπηρεσιών των ΗΠΑ να ασφαλίσουν τους διακομιστές τους έως τις 12 Μαΐου 2023.
