PaperCut yazdırma yönetimindeki güvenlik açıkları, fidye yazılımı saldırılarında kullanılıyor.
Birkaç gün önce PaperCut uygulama sunucularında bulunan iki güvenlik açığı hakkında yazmıştık. Belirttiğimiz gibi, istismar oldukça basitti, bu nedenle yamaları yüklemek için biraz aciliyet vardı. Kıymetli meslektaşım Chris Boyd kelimenin tam anlamıyla şunları yazdı:
“Saldırganın araç setinin bir parçasıysa keyfi kod ve hatta fidye yazılımı dağıtılabilir.”
Görünen o ki, henüz güncellenmemiş olanları avlayan iki tür fidye yazılımı var.
olarak markalanan bir Cl0p üyesi Microsoft’tan DEV-0950 PaperCut açıklarını zaten saldırılarına dahil etti. Bu bağlı kuruluşun, temelde geçen ay Cl0p’yi ölümden geri getiren GoAnywhere sıfır gününü kullandığı da biliniyor.
Fidye yazılımı manzarası için şaşırtıcı bir olay dönüşünde, Cl0p Mart 2023’te en çok kullanılan fidye yazılımı olarak ortaya çıktı ve birdenbire her zamanki öncü LockBit’i tahttan indirdi.
Ancak alışılmış öncü LockBit’i henüz göz ardı etmeyin. Microsoft Tehdit İstihbaratı Bir tweet’te söyledi “Lockbit dağıtımına yol açan izinsiz girişler dahil olmak üzere bu güvenlik açıklarından yararlanan diğer saldırıları da izliyor.”
PaperCut, yazdırma işlerini bir yazdırma kuyruğuna girerken yakalayarak çalışan bir yazdırma yönetimi yazılımıdır. Tüm büyük yazıcı markaları ve platformlarıyla uyumlu olduğu için büyük şirketler, devlet kuruluşları ve eğitim kurumları tarafından kullanılır. Bu, özellikle istismar edilmesi bir o kadar kolay olan bir güvenlik açığını, fidye yazılımı seyyar satıcılar için sanal bir altın madeni haline getirir ve yama uygulanmamış bir sunucu çalıştıran herkesi hedef tahtasına koyar.
Her iki temel güvenlik açığı da yamalarla giderildi. PaperCut uygulama sunucularınızı güncellerseniz, artık risk altında değilsiniz. Güncelleme SSS’sinden:
- Lütfen her zamanki yükseltme prosedürünüzü takip edin. ‘Güncellemeleri kontrol et’ sayfasındaki ek bağlantılar (şu adresten erişilir: Yönetici arayüzü > Hakkında > Sürüm bilgisi > Güncellemeleri kontrol et), müşterilerin hala desteklenen önceki ana sürümlerin (örn. 20.1.7 ve 21.2.11) yanı sıra mevcut sürümün düzeltmelerini indirmesine olanak tanır.
- PaperCut MF kullanıyorsanız, düzenli yükseltme işleminizi izlemenizi önemle tavsiye ederiz. PaperCut iş ortağı veya satıcı bilgileriniz, PaperCut yönetici arayüzündeki “Hakkında” sekmesinde de bulunabilir.
Yükseltme yapamıyorsanız, PaperCut aşağıdakileri önerir:
- Harici IP’lerden web yönetim bağlantı noktasına (varsayılan olarak 9191 ve 9192 bağlantı noktası) gelen tüm trafiği engelleyin
- Güvenlik duvarındaki web yönetim portalına sunucuya gelen tüm trafiği engelleyin. Not: Bu, dahili ana bilgisayarlardan yanal hareketi önleyecektir ancak PaperCut hizmetinin yönetimi yalnızca o varlık üzerinde gerçekleştirilebilir.
- Altında “İzin verilenler listesi” kısıtlamalarını uygulayın Seçenekler > Gelişmiş > Güvenlik > İzin verilen site sunucusu IP adresleri. Bunu yalnızca ağınızdaki doğrulanmış Site Sunucularının IP adreslerine izin verecek şekilde ayarlayın. Bunun yalnızca ZDI-CAN-19226 / PO-1219’a yönelik olduğunu unutmayın.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden çok farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE