ABD siber suç gözlemcileri, vahşi ortamda kullanılan bir PaperCut güvenlik açığı hakkında ortak bir uyarı yayınladı.
FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2023-27350’nin aktif olarak kullanılmasına yanıt olarak ortak bir Siber Güvenlik Danışma Belgesi (CSA) yayınladı.
Ajanslara göre, Bl00dy Ransomware Gang, internete maruz kalan CVE-2023-27350’ye karşı savunmasız olan PaperCut sunucuları aracılığıyla kurban ağlarına erişim sağladı.
Bu güvenlik açığı, PaperCut NG ve PaperCut MF’nin belirli sürümlerini etkiler ve kimliği doğrulanmamış aktörler tarafından kimlik bilgileri olmadan uzaktan kötü amaçlı kod yürütmek için kullanılabilir.
Baskı yönetimi yazılımı PaperCut, Mart 2023’te CVE-2023-27350 ve CVE-2023-27351 olmak üzere iki güvenlik açığı için yamalar yayınladı.
Vahşi ortamda istismar edilen PaperCut güvenlik açığı olan CVE-2023-27350, bir uzaktan kod yürütme hatasıyken, yüksek önem düzeyine sahip CVE-2023-27351 bir kullanıcı hesabı verisi hatasıydı.
PaperCut güvenlik açığından vahşi ortamda yararlanıldı
Bir CISA duyurusu, “FBI’ın gözlemlediği bilgilere göre, kötü niyetli kişiler 2023 Nisan ortasından başlayarak ve bugüne kadar devam ederek CVE-2023-27350’den yararlandı.”
Yine FBI bilgilerine göre, Mayıs 2023’ün başlarında, kendilerini Bl00dy Fidye Yazılımı Çetesi olarak tanımlayan bir grup, Eğitim Tesisleri Alt Sektörüne karşı savunmasız PaperCut sunucularından yararlanmaya çalıştı.
Bl00dy Fidye Yazılımı Çetesi, CVE-2023-27350’ye karşı savunmasız olan PaperCut sunucularının internete maruz kaldığı Eğitim Tesisleri Alt Sektöründeki kurban ağlarına erişim sağladı.
Sonuçta bu, veri hırsızlığına ve kurban sistemlerinin şifrelenmesine yol açtı. Bl00dy Fidye Yazılımı Çetesi, şifrelenmiş dosyaların şifresinin çözülmesi karşılığında ödeme talep ederek kurban sistemlerine fidye notları bıraktı.
Vahşi ortamda kullanılan PaperCut güvenlik açığı, uzak aktörlerin kimlik doğrulamasını atlamasına ve etkilenen PaperCut kurulumlarında uzaktan kod yürütmesine olanak tanır.
Güvenlik açığı bulunan PaperCut sunucuları, kötü niyetli aktörlerin kullanıcı kimlik doğrulamasını atlamasına ve sunucuya yönetici olarak erişmesine olanak tanıyan SetupCompleted Java sınıfında uygunsuz erişim denetimleri uygular.
Erişildikten sonra aktörler, uzaktan kod yürütme için mevcut PaperCut yazılımı özelliklerinden yararlanabilir.
Şu anda savunmasız PaperCut yazılımında RCE’ye ulaşmak için genel olarak bilinen iki kavram kanıtı vardır: kabuk komutlarını yürütmek için yazdırma komut dosyası arabirimini kullanma ve karadan uzakta yaşama tarzı bir saldırıyı yürütmek için Kullanıcı/Grup Eşitleme arabirimini kullanma.
Trend Micro, Mart 2023’te bu güvenlik açığını keşfetti ve şirketi uyardı, ardından şirket bir yama yayınladı. Bir PaperCut raporuna göre, CVE-2023-27350 kritik önem dereceli hatanın taban puanı 9,8’di.
PaperCut güvenlik açıkları
İki güvenlik açığı, Mart 2023’te PaperCut tarafından kamuya açıklandı. CVE-2023-27350, bir uzaktan kod yürütme hatasıyken, yüksek öneme sahip CVE-2023-27351, bir kullanıcı hesabı verisi hatasıydı.
“Belirli bir kusur (CVE-2023-27350), SetupCompleted sınıfında bulunuyor. Sorun, hatalı erişim kontrolünden kaynaklanmaktadır. Bir saldırgan, kimlik doğrulamasını atlamak ve SİSTEM bağlamında rasgele kod yürütmek için bu güvenlik açığından yararlanabilir.”
PaperCut uygulama sunucunuza internet üzerinden doğrudan erişilemiyorsa bile, bu hatadan yararlanarak işletmenizde daha ayrıcalıklı ve güçlü bir konuma dönebilir veya yanal olarak (“atlamayı yapmak” için kullanılan süslü jargon sözcüklerdir) hareket edebilirsiniz. bir Sophos danışmanı uyardı.
Bunun için, saldırganın ağınızda zaten temel bir dayanağı olması gerekir, örneğin birinin virüs bulaşmış dizüstü bilgisayarında konuk kullanıcı olarak.
Şirket Mart ayında, ilkinin vahşi doğada sömürülme örnekleri gösterirken, ikincisinin göstermediğini söyledi.
PaperCut tarafından yayınlanan güvenlik açığı bülteninde şu ifadeler yer almaktadır: “Lütfen 18 Nisan 2023 itibarıyla (SSS bölümündeki “İstismar ilk kez ne zaman tespit edildi?” bölümüne bakın), yama uygulanmamış sunucuların açık havada kötüye kullanıldığını gösteren kanıtlarımız olduğunu unutmayın ( özellikle ZDI-CAN-18987 / PO-1216).”
Yama uygulanmamış sistemler, PaperCut tarafından oluşturulan kullanıcı hesaplarından hashlenmiş parolaları alabilen bilgisayar korsanlarına hâlâ açıktır. Kullanıcı adları, tam adlar, e-posta adresleri, işle ilgili veriler ve kartlardan alınan mali verilere de istismar üzerine erişilebilir.
Cyber Express, son birkaç haftadır vahşi ortamda istismar edilen güvenlik açığı örneklerini izliyor. Bir PaperCut yöneticisi, yorum taleplerimize şu yanıtı verdi: “Tahmin edebileceğiniz gibi, şu anda %100 müşterilerimize odaklanmış durumdayız. Zamanla herkese açık olarak paylaşacak daha çok şeyimiz olacak.”
Doğada istismar edilen PaperCut güvenlik açığının ayrıntıları
OSINT’e göre, PaperCut güvenlik açığı CVE-2023-27350’ye yönelik istismarın Avustralya’dan küçük ve büyük eğitim kuruluşlarına ait yaklaşık 87 sistemi açığa çıkaracağı tahmin ediliyor. İstismar, yama uygulanmamış cihazlarda Nisan ortasından beri devam ediyor ve en erken örneği 14 Nisan 2023’te keşfedildi.
CVE-2023-27351 veya ZDI-23-233, erişim elde etmek için onaylanması gerekmeyen, uygun olmayan bir erişim denetimi kimlik doğrulama atlama hatasıydı. Güvenlik açıkları, Trend Micro’nun Zero Day Initiative (ZDI) aracılığıyla uyarıldı.
Araştırmacılar tarafından vahşi ortamda yararlanılan PaperCut güvenlik açığının tespit edildiği bir örnekte, bilgisayar korsanlarının bir PowerShell betiği çalıştırdığını ve bunun karşılığında bir yük indirip çalıştırdığını gösterdi. Kötü amaçlı yazılım, güvenlik duvarı algılamasından kaçınmak için netsh.exe aracını kullandı.
Ayrıca, PaperCut güvenlik açığından vahşi ortamda yararlanan şu anda tespit edilemeyen bilgisayar korsanlarının, yüklenen tüm dosyaları kullandıktan 60 dakika sonra silen geçici bir barındırma sitesi kullandıkları tespit edildi.
Hedeflenen sistemin İndirme klasöründe bulunan ikili dosya, fidye yazılımının LockBit’e ait olduğuna dair kesin bir inanca yol açtı.
PaperCut, savunmasız sistemlerin güvenliğini sağlamak için PaperCut MF ve PaperCut NG – 20.1.7, 21.2.11 ve 22.0.9 için yamalar yayınladı.
CVE-2023-27350’ye karşı güvenlik açığı olan ürünler, platformlar genelinde PaperCut MF/ PaperCut NG sürüm 8.0 veya sonraki sürümlerini içerir. PaperCut MF/ PaperCut NG Uygulama Sunucuları ve PaperCut MF/ PaperCut NG Site Sunucuları.
Baskı yönetimi yazılımı çözümü PaperCut, dünya çapında yaklaşık 100 milyonluk bir müşteri tabanına sahiptir.
Vahşi ortamda kullanılan PaperCut güvenlik açığının oluşturduğu tehdidi azaltmak için FBI ve CISA, kullanıcıları ve yöneticileri yamaları ve yama yapamıyorlarsa geçici çözümleri hemen uygulamaya teşvik ediyor.
Olası bir uzlaşma tespit edilirse kuruluşlar, CSA’da yer alan olay müdahale önerilerini uygulamalıdır.
FBI ve CISA, kuruluşlara PaperCut’u en son sürüme yükseltmelerini tavsiye ediyor. Derhal yama uygulayamazlarsa, savunmasız PaperCut sunucularına internet üzerinden erişilmemesini sağlamalı ve ağ denetimleri uygulamalıdırlar.
Ayrıca, kuruluşlar, tüm personel ve hizmetler için kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmak da dahil olmak üzere, üretim ve işletme ortamlarında en iyi siber güvenlik uygulamalarını takip etmelidir.