Tehdit aktörleri, PaperCut MF/NG baskı yönetimi yazılımında bulunan kritik güvenlik açıklarından aktif olarak yararlanıyor.
Bu istismar, Atera uzaktan yönetim yazılımını hedeflenen sunucular üzerinde kontrol elde etmek için yerleştirmeyi amaçlamaktadır. Dünya çapında 70.000’den fazla şirketten 100 milyondan fazla aktif kullanıcıya sahiptir.
PaperCut MF/NG baskı yönetimi yazılımını etkileyen güvenlik açıkları şu şekilde izlenir:-
Uzaktaki tehdit aktörleri, güvenliği ihlal edilmiş PaperCut sunucularında yetkisiz erişim elde etmek ve rasgele kod yürütmek için bu güvenlik açıklarından yararlanabilir.
Bu açıklardan kullanıcı etkileşimi olmadan yararlanılabilir ve gerçekleştirilmesi görece kolaydır ve saldırgana SİSTEM ayrıcalıkları verir. Son zamanlarda Shodan arama motorunda 1700 civarında PaperCut sunucusunun internete açıldığı gözlemlendi.
PoC İstismar Kodu
PaperCut MF ve PaperCut NG sürümleri 20.1.7, 21.2.11 ve 22.0.9 ve sonraki sürümler her iki güvenlik açığını da gidermiştir.
Bu nedenle güvenlik uzmanları, bu kusurlarla ilişkili riskleri azaltmak için kullanıcılara bu yamalı sürümlerden herhangi birine yükseltme yapmalarını şiddetle tavsiye ediyor.
Horizon3 kısa bir süre önce teknik bilgiler ve CVE-2023-27350 için bir kavram kanıtı (PoC) istismarı yayınladı.
Saldırganlar, kimlik doğrulamasını atlamak ve yama uygulanmamış PaperCut sunucularında rasgele kod yürütmek için bu istismardan yararlanabilir.
RCE istismarı, yazıcılar için “Komut Dosyası Oluşturma” özelliğini kötüye kullanarak, siber suçluların uzaktan kod yürütmesini sağlar.
Huntress, devam eden saldırılarla ilişkili tehlikeyi göstermek için bir PoC istismarı geliştirmiş olsa da, bunu kamuya açık hale getirmediler.
Şu anda yama uygulanmamış PaperCut sunucuları saldırı altındadır ve Horizon3 tarafından geliştirilen yararlanma kodunun gelecekte benzer saldırılar başlatmak için diğer tehdit aktörleri tarafından benimsenmesi beklenmektedir.
CVE-2023-27350 güvenlik açığı, CISA tarafından aktif olarak kullanılan güvenlik açıkları listesine dahil edilmiştir.
Sadece bu da değil, CISA bile daha fazla istismarı önlemek için tüm federal kurumları 12 Mayıs 2023’e kadar önümüzdeki üç hafta içinde sistemlerini güvence altına almaya yönlendirdi.
Huntress, PaperCut sunucularının uzaktan istismar edilmesini önlemek için yöneticileri, şu anda PaperCut sunucularına yama yapamayan gerekli güvenlik önlemlerini hemen uygulamaya çağırdı.
Analiz sırasında Horizon3 uzmanları, SetupCompleted sınıfını içeren bir JAR belirledi: –
- C:\Program Files\PaperCut NG\server\lib\pcng-server-web-19.2.7.jar
SetupCompleted akışında, koddaki bir hata nedeniyle anonim kullanıcının oturumunun kimliği yanlışlıkla doğrulanır.
Bu işlev yalnızca bir kullanıcının parolası bir oturum açma işlemi aracılığıyla doğrulandıktan sonra tetiklenir. Web uygulamalarında, bu tür bir güvenlik açığı şu şekilde adlandırılır: –
Huntress, korudukları müşteri ortamlarında PaperCut yüklü Windows makinelerinden yaklaşık 1.000 tanesinin tespit edildiğini açıkladı.
Gözlemlerine göre, bu makinelerden yaklaşık 900’ü hâlâ yamalanmamıştı ve izledikleri üç macOS makinesinden yalnızca birine yama uygulanmıştı.
PaperCut kullanan kuruluşlar, istismarı önlemek için PaperCut MF veya NG 20.1.7, 21.2.11 veya 22.0.9 sürümlerini yüklediklerinden emin olmalıdır.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
İlgili Okuma: