Tehdit aktörleri, baskı yönetimi yazılımı PaperCut’un yamalı sürümlerini aktif olarak istismar ediyor, FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı Perşembe günü bir uyarıda bulundu. ortak danışma.
Güvenlik açığı, CVE-2023-27350, bir tehdit aktörünün kimlik doğrulamasını atlamasına ve bir PaperCut uygulama sunucusunda uzaktan kod yürütmeyi başlatmasına olanak tanır. PaperCut, güvenlik açığı için Mart ayında bir yama yayınladı ve şu adresteki araştırmacılar Avcı, aktif sömürüyü gözlemlemeye başladı Nisan ortasında.
CISA ve FBI’a göre, kendisini Bl00dy Ransomware Gang olarak tanımlayan bir fidye yazılımı grubu, savunmasız PaperCut sunucularını Mayıs ayı başlarında eğitim tesisleri sektörüne karşı kullanmaya çalıştı.
Eğitim, PaperCut için önemli bir pazardır. Şirket, dünya çapında 70.000 kuruluşta 100 milyondan fazla kullanıcıya sahip olduğunu iddia ediyor.
PaperCut’un yaptığı bir açıklamada, bir müşterinin PaperCut sunucusundaki şüpheli etkinliği şirkete ilk olarak 18 Nisan’da bildirdiği bildirildi. güvenlik bülteni. Güvenlik açığıyla potansiyel olarak bağlantılı şüpheli etkinliğin en erken imzası, 14 Nisan’da bir müşteri sunucusunda belirlendi.
Microsoft Tehdit İstihbaratı, daha fazla tehdit aktörünün PaperCut’un yama uygulanmamış sürümlerinden yararlandığı konusunda uyardı. 5 Mayıs’ta tweet. Araştırmacılar, Microsoft’un Lace Tempest olarak adlandırdığı, finansal olarak motive olmuş bir tehdit aktörü ve İran devlet destekli tehdit aktörleri Mint Sandstorm ve Mango Sandstorm’a yönelik aktif istismarın izini sürdü.
Ortak danışmanlık, tespit yöntemlerini ve uzlaşma göstergelerini içerir ve federal kurumlar, yöneticilere gerekirse yamaları veya geçici çözümleri derhal uygulamalarını tavsiye etti.