PaperCut güvenlik açığı, kimliği doğrulanmamış bir aktörün rastgele kod yürütmesine, SİSTEM ayrıcalıkları kazanmasına ve şirket sunucularında depolanan hassas kişisel bilgileri almasına olanak tanıyan, yaygın olarak kullanılan baskı yönetimi yazılımındaki bir kusurdur.
Microsoft’un tehdit istihbarat ekibi, İran devlet destekli iki bilgisayar korsanlığı grubunun, yaygın olarak kullanılan bir baskı yönetimi yazılımı olan PaperCut’ta keşfedilen bir güvenlik açığından aktif olarak yararlandığını bildirdi. Devlet kurumları, eğitim kurumları ve dünya çapındaki büyük ölçekli kuruluşlar, PaperCut’un önde gelen kullanıcıları arasındadır.
Hackerlar Hakkında
İran’ın önde gelen iki bilgisayar korsanlığı grubunun bu güvenlik açığından yararlandığı gözlemleniyor. Mango Sandstorm, ülkenin İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlıdır. Diğer grup, Mint Sandstorm, İslam Devrim Muhafızları Birliği (IRGC) ile bağlantılı. Microsoft, bu sömürücü faaliyetin “fırsatçı” göründüğünü ve çeşitli sektörler ve bölgelerdeki kuruluşları etkilediğini iddia ediyor.
PaperCut’ta Bulunan Güvenlik Açığı Bilgisayar Korsanları Tarafından Aktif Olarak Kullanılıyor
Microsoft’un raporuna göre, Mango Sandstorm (Mercury) ve Mint Sandstorm (Phosphorus), saldırılarında ilk erişim için PaperCut güvenlik açığından (CVE-2023-27350 olarak izlenen ve CVSS puanı 9,8) yararlanıyor.
Mint Sandstorm’un sürekli olarak operasyonlarına PoC açıklarını dahil etmek için çalıştığını, Mango Sandstorm’un istismar faaliyetlerinin ise oldukça düşük olduğunu gösteriyor. Bu aktörler, yazdırma yazılımının yama uygulanmamış sürümlerini kullanan şirketleri hedefliyor.
Microsoft, “Yamalı olmayan sunucuların vahşi ortamda istismar edildiğini gösteren kanıtlarımız var” dedi.
Cuma günü, Microsoft söz konusu Mint Sandstorm ve Mango Sandstorm adını verdikleri iki ulus-devlet aktörü, dünya çapında devlet kurumları, üniversiteler ve büyük şirketler tarafından yaygın olarak kullanılan PaperCut yazılımının yamasız sürümlerini çalıştıran şirketlere saldırıyor.
Lace Tempest’i en son bildirdiğimizden bu yana daha fazla aktör, baskı yönetimi yazılımı Papercut’ta yamalı CVE-2023-27350’den yararlanıyor. Microsoft şimdi İran devlet destekli tehdit aktörleri Mint Sandstorm (PHOSPHORUS) ve Mango Sandstorm’un (MERCURY) CVE-2023-27350’den yararlandığını gözlemledi.
— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 5 Mayıs 2023
Ne zaman keşfedildi?
Kusur, Trend Micro Zero Day Initiative (ZDI) tarafından 8 Mart’ta açıklandı. Şirket, PaperCut çalıştıran kuruluşları yamayı yüklemeye çağıran danışma belgesinde acil bir güncelleme yayınladı. Bu danışma belgesinin yayınlanmasından bu yana, LockBit ve Clop dahil olmak üzere birçok fidye yazılımı grubu bundan yararlanmaya başladı.
Saldırı çılgınlığı, Microsoft’un Lace Tempest siber suç grubunun LockBit ve Cl0p fidye yazılımını dağıtmak için bu kusuru kötüye kullandığını bildirmesinin ardından geldi. Kusur, PaperCut NG ve MF kurulumlarında tespit edildi. Trend Micro, güvenlik açığı hakkında daha fazla ayrıntıyı 10 Mayıs’ta yayınlayacağını söylüyor.
Bu Güvenlik Açığıyla İlişkili Tehlikeler Nelerdir?
Kimliği doğrulanmamış bir oyuncu, SİSTEM ayrıcalıkları kazanacağından, rastgele kod yürütmek için kolayca istismar edebilir. Bilgisayar korsanları, kurbanlarının sistemlerine uzaktan erişim sağlayabilir ve genellikle şirket sunucularında saklanan kullanıcı adları, tam adlar, hesaba bağlı ödeme kartı numaraları ve e-posta kimlikleri dahil olmak üzere hassas kişisel bilgileri elde edebilir.
CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), geçen ay istismar edilen kusurlar listesine ekledi ve federal sivil kurumlara yamayı yüklemeleri için 12 Mayıs 2023’e kadar süre verdi.
ALAKALI HABERLER
- Hacker binlerce Yazıcıyı ele geçirir; kullanıcılara uyarılar gönderir
- Kurumsal Yazıcı Satıcılarından Gelen Sahte E-postalar Arka Kapıyı Yükleyin
- Hackerlar, Brother Yazıcılarda Kusur Kullanarak DoS saldırıları gerçekleştirebilir
- HP Bug Bounty Programı: HP Yazıcıları Hackleyin ve 10.000 Dolara Kadar Kazanın
- 28K açığa çıkan yazıcılar, yazıcı güvenliği eksikliğinin altını çizmek için saldırıya uğradı