Horizon3.ai araştırmacıları, PaperCut uygulama sunucularındaki kimliği doğrulanmamış saldırganlar tarafından uzaktan kod yürütmek için kullanılabilecek iki güvenlik açığı olan CVE-2023-39143 hakkında bazı ayrıntılar yayınladı (ama şimdilik PoC yok!).
Ancak yakın zamanda Clop ve LockBit fidye yazılımı ortakları tarafından kullanılan PaperCut güvenlik açığının (CVE-2023-27350) aksine, CVE-2023-39143’ün “tek seferlik” bir RCE hatası olmadığını belirttiler.
“CVE-2023-39143, bir sunucuyu tehlikeye atmak için birlikte zincirlenmesi gereken birden çok sorunu içerdiğinden, istismar edilmesi daha karmaşıktır” diye belirttiler.
CVE-2023-39143 hakkında
PaperCut NG ve MF, yaygın olarak kullanılan baskı yönetimi sunucusu yazılım çözümleridir.
CVE-2023-39143, v22.1.3’ten önce yayınlanan PaperCut NG ve PaperCut MF sürümlerinde bulunan ve savunmasız bir uygulama sunucusuna rasgele dosyaları okumak, silmek ve yüklemek için kullanılabilen yol geçişi güvenlik açıklarıdır.
Güvenlik açığı, Windows üzerinde çalışan PaperCut sunucularını etkiliyor. Harici cihaz entegrasyon ayarı etkinleştirildiğinde, uzaktan kod yürütülmesine yol açan dosya yüklemesi mümkündür. Bu ayar, PaperCut NG Commercial sürümü veya PaperCut MF gibi belirli PaperCut yüklemelerinde varsayılan olarak açıktır,” diye paylaştı araştırmacılar.
İstismar riskinin azaltılması
CVE-2023-39143, Temmuz sonunda PaperCut NG ve PaperCut MF 22.1.3’ün piyasaya sürülmesiyle düzeltildi.
Söz konusu sürüm ayrıca, Tenable araştırmacıları tarafından işaretlenen potansiyel bir DoS güvenlik açığını (CVE-2023-3486) ve PaperCut tarafından kullanılan bir üçüncü taraf bağımlılığında Trend Micro araştırmacıları tarafından bulunan bir ayrıcalık artışı sorununu (şu anda CVE’siz) tıkadı.
Şirket, kod denetimleri, kalem testleri ve güvenlik incelemelerinin bir sonucu olarak diğer güvenlik iyileştirmelerinin yapıldığını ekledi ve müşterileri bu sürüme bir yükseltme planlamaya çağırdı.
Horizon3.ai araştırmacıları, müşterilerin PaperCut sunucularının yükseltilmesi gerekip gerekmediğini kontrol etmek için kullanabilecekleri komutları paylaştı.
CVE-2023-39143’ten yararlanmak için doğrudan sunucu IP erişimi gerektiğinden, bir izin verilenler listesi oluşturularak ve sunucuyla iletişim kurmasına izin verilen cihaz IP adresleri ile doldurularak istismar riski de azaltılabilir. (PaperCut sunucularınızı düzenli olarak güncelliyor olsanız bile bu genellikle iyi bir fikirdir.)
Horizon3.ai’den Naveen Sunkavally, “Kullanıcılara yükseltme yapmak için yeterli zamanı sağlamak için şu anda daha fazla ayrıntı yayınlamıyoruz” dedi.