Siber güvenlik araştırmacıları, PaperCut sunucularında yakın zamanda açıklanan kritik bir kusurdan, mevcut tüm tespitleri atlayacak şekilde yararlanmanın bir yolunu buldular.
CVE-2023-27350 (CVSS puanı: 9,8) olarak izlenen sorun, kimliği doğrulanmamış bir saldırgan tarafından SİSTEM ayrıcalıklarıyla rastgele kod yürütmek için istismar edilebilecek PaperCut MF ve NG kurulumlarını etkiliyor.
Açık, Avustralyalı şirket tarafından 8 Mart 2023’te yamalanırken, aktif istismarın ilk işaretleri 13 Nisan 2023’te ortaya çıktı.
O zamandan beri güvenlik açığı, fidye yazılımı aktörleri de dahil olmak üzere birden fazla tehdit grubu tarafından silah haline getirildi ve istismar sonrası etkinlik, ek yükleri bırakmak için tasarlanmış PowerShell komutlarının yürütülmesiyle sonuçlandı.
Şimdi, VulnCheck, “PaperCut NG ve MF’nin kod yürütme için birden fazla yol sunduğu” gerçeğinden yararlanarak mevcut algılama imzalarını atlayan bir kavram kanıtı (PoC) istismarı yayınladı.
Açıktan yararlanmanın, Windows komutlarını yürütmek veya kötü amaçlı bir Java arşivi (JAR) dosyasını bırakmak için PaperCut yazıcı komut dosyası arabirimini kullandığını belirtmekte fayda var.
VulnCheck’e göre bu yaklaşımların her ikisi de Windows Sistem Monitörü (Sysmon olarak da bilinir) hizmetinde ve sunucunun günlük dosyasında, kimlik doğrulama atlamasını algılayabilen tetikleyici ağ imzalarından bahsetmeye bile gerek yok, farklı ayak izleri bırakır.
Ancak Massachusetts merkezli tehdit İstihbarat firması, baskı yönetimi yazılımının Active Directory, LDAP veya özel bir kaynaktan kullanıcı ve grup bilgilerini senkronize etmeyi mümkün kılan “Kullanıcı/Grup Senkronizasyonu” özelliğini kötüye kullanan yeni bir yöntem keşfettiğini söyledi.
Kullanıcılar, özel bir dizin kaynağı seçerken, bir kullanıcının kullanıcı adını ve parolasını doğrulamak için özel bir kimlik doğrulama programı da belirtebilir. İlginç bir şekilde, auth programı doğası gereği etkileşimli olmak zorunda olmasına rağmen, kullanıcı ve auth programları herhangi bir yürütülebilir olabilir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
VulnCheck bankaları tarafından Linux için “/usr/sbin/python3” ve Windows için “C:\Windows\System32\ftp.exe” olarak ayarlanan kimlik doğrulama programında tasarlanan PoC istismarı. Şirket, bir saldırganın rasgele kod yürütmesi için oturum açma girişimi sırasında kötü amaçlı bir kullanıcı adı ve parola sağlaması gerektiğini söyledi.
Saldırı yöntemi, bilinen algılamalardan herhangi birini etkinleştirmeden Linux’ta bir Python ters kabuğu başlatmak veya Windows’ta uzak bir sunucuda barındırılan özel bir ters kabuğu indirmek için kullanılabilir.
VulnCheck, “PaperCut NG ve MF’ye saldıran bir yönetici kullanıcı, rastgele kod yürütmeye giden birden çok yolu izleyebilir” dedi.
“Belirli bir kod yürütme yöntemine veya bir tehdit aktörü tarafından kullanılan küçük bir teknik alt kümesine odaklanan tespitler, bir sonraki saldırı turunda işe yaramaz olmaya mahkumdur. Kolayca baypas edilemeyecek sağlam tespitler üretme sorumluluğu.”