Baskı yönetimi yazılımı geliştiricisi PaperCut, bilgisayar korsanları savunmasız sunuculara erişim elde etmek için açıklardan aktif olarak yararlandığından, müşterileri yazılımlarını hemen güncellemeleri konusunda uyarıyor.
PaperCut, baskı yönetimi yazılımını tüm büyük markalar ve platformlarla uyumlu hale getirir. Büyük şirketler, devlet kuruluşları ve eğitim kurumları tarafından kullanılırken, resmi web sitesi 100’den fazla ülkeden yüz milyonlarca kişiye hizmet verdiğini iddia ediyor.
Şirket, 10 Ocak 2023’te siber güvenlik uzmanı Trend Micro’dan PaperCut MF/NG’yi etkileyen iki yüksek ve kritik önem dereceli kusur hakkında bilgi veren iki rapor aldığını söyledi.
İki kusur şunlardır:
- ZDI-CAN-18987 / PO-1216: Hem uygulama hem de site sunucuları için tüm işletim sistemi platformlarında tüm PaperCut MF veya NG sürüm 8.0 veya sonraki sürümlerini etkileyen kimliği doğrulanmamış uzaktan kod yürütme kusuru. (CVSS v3.1 puanı: 9.8 – kritik)
- ZDI-CAN-19226 / PO-1219: Uygulama sunucuları için tüm işletim sistemi platformlarında tüm PaperCut MF veya NG sürüm 15.0 veya sonraki sürümlerini etkileyen kimliği doğrulanmamış bilgi ifşa kusuru. (CVSS v3.1 puanı: 8.2 – yüksek)
Bugün, yazılım geliştirici Mart 2023 güvenlik bültenini güncelleyerek müşterileri güvenlik açıklarından artık bilgisayar korsanları tarafından aktif olarak yararlanıldığı konusunda uyardı.
“18 Nisan 2023 itibariyle, yama uygulanmamış sunucuların vahşi ortamda istismar edildiğini gösteren kanıtlarımız var (özellikle ZDI-CAN-18987 / PO-1216),” diyor danışma belgesi.
“Önlem olarak, bu güvenlik açıkları hakkında çok fazla bilgi veremiyoruz.”
Trend Micro, kusurlar hakkında daha fazla bilgiyi 10 Mayıs 2023’te açıklayacaklarını ve etkilenen kuruluşlara güvenlik güncellemelerini uygulamaları için yeterli süre tanıyacaklarını söylüyor.
Etkilenen sürümlerin kullanıcılarının PaperCut MF ve PaperCut NG sürümlerini 20.1.7, 21.2.11 ve 22.0.9 ve sonraki sürümlerine yükseltmeleri önerilir. Ürünlerin nasıl yükseltileceğine ilişkin daha fazla talimat için bu kılavuza bakın.
19’dan eski sürümler “ömrünün sonuna” ulaştı ve artık desteklenmiyor, bu nedenle PaperCut bu sürümler için güvenlik güncellemeleri sunmayacak. PaperCut, şirketlere daha eski, desteklenmeyen bir sürüm kullanıyorlarsa güncellenmiş bir lisans satın almalarını önerir.
PaperCut’ta ilk kusur için bir azaltma yoktur, ikincisi ise “Seçenekler > Gelişmiş > Güvenlik > İzin verilen site sunucusu IP adresleri” altında “İzin verilenler listesi” kısıtlamaları uygulanarak ve bunu yalnızca doğrulanmış Site Sunucularının IP adreslerine izin verecek şekilde ayarlanarak hafifletilebilir. ağınız.
Güvenliği ihlal edilmiş sunucuları kontrol edin
PaperCut, bir sunucunun ihlal edilip edilmediğini %100 kesin olarak belirlemenin bir yolu olmadığını söylüyor ancak yöneticilerin araştırmak için aşağıdaki adımları uygulamalarını öneriyor:
- PaperCut yönetici arabiriminde Günlükler > Uygulama Günlüğü’nde şüpheli etkinliği arayın.
- Özellikle, adlı bir kullanıcıdan gelen güncellemelere dikkat edin. [setup wizard].
- Oluşturulan yeni (şüpheli) kullanıcıları veya kurcalanan diğer yapılandırma anahtarlarını arayın.
- Uygulama Sunucusu sunucu günlükleriniz hata ayıklama modundaysa, sunucu kurulumu veya yükseltmesi ile ilişkili olmayan bir zamanda SetupCompleted’den bahseden satırların olup olmadığını kontrol edin. Sunucu günlükleri örneğin şu adreste bulunabilir: [app-path]/server/logs/*.* burada server.log normalde en son günlük dosyasıdır.
Yukarıdakiler kötü amaçlı etkinlikleri ortaya çıkarsa da, saldırganların etkinliklerinin izlerini günlüklerden kaldırmış olmalarının da mümkün olduğunun altını çizmek önemlidir.
Bu nedenle, sunucularının ele geçirildiğinden şüphelenen yöneticilerin yedek almaları, Uygulama Sunucusunu silmeleri ve her şeyi güvenli bir yedekleme noktasından yeniden oluşturmaları önerilir.