Güvenlik araştırmacıları, saldırganların dünya çapında 100 milyondan fazla müşteri tarafından kullanılan PaperCut kurumsal baskı yönetimi sistemindeki kimlik doğrulamayı atlamak ve uzaktan kod yürütmek için iki açıktan nasıl yararlandığına dair yeni ayrıntılar ortaya çıkardı. Kusurlar, genellikle gözden kaçan bir tehdit olan kurumsal yazıcıların ve ilgili sistemlerin kuruluşların genel güvenliği için oluşturduğu riski bir kez daha vurgulamaktadır.
PaperCut’tan araştırmacılar ve güvenlik şirketleri, saldırganların yazılımın yamalanmamış sürümlerini ele geçirmek için – PaperCut tarafından PaperCut MF ve NG ürünlerine 8 Mart’ta yapılan bir güncellemede yamalanan – güvenlik açıklarından yararlandıkları konusunda uyardılar. Ayrıca, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), açıkları 21 Nisan’da bilinen kötüye kullanılan güvenlik açıkları kataloğuna ekledi.
Zero Day Initiative, kusurları ZDI-CAN-18987 ve ZDI-CAN-19226 olarak takip ediyor; ayrıca NIST’in Ulusal Güvenlik Açığı Veritabanı tarafından sırasıyla CVE-2023-27350 ve CVE-2023-27351 olarak izleniyorlar. PaperCut’a göre kusurlar, tüm işletim sistemi platformlarında PaperCut MF ve NG sürüm 8.0 ve sonraki sürümlerini etkiliyor.
Horizon3.ai’deki araştırmacılar, Pazartesi günü CVE-2023-27350 için kavram kanıtı istismar kodunu yayınladı – CVSS derecesi 9.8 olan iki hatadan daha tehlikeli olanı, eşlik eden kusurun derecesi 8.2 olan – Pazartesi günü.
CVE-2023-27350’yi kötüye kullanma
Horizon3.ai ekibi, saldırganların RCE istismarını kötüye kullanmak için “yazıcılar için yerleşik ‘Komut Dosyası’ işlevini” nasıl kötüye kullandığına dair teknik bir analiz de ekledi. Araştırmacılar, sistemin Aygıt Komut Dosyası sayfasının, yöneticinin JavaScript tabanlı komut dosyaları kullanarak ve Windows’ta NT AUTHORITY\SYSTEM olarak çalışan PrintCut hizmeti bağlamında yürütülen işletme çapında yazdırmayı özelleştirmek için kancalar geliştirmesini sağladığını açıkladı.
PaperCut’un Web uygulamasının son talebe dayalı olarak dinamik form alanlarını kullanması, siteyle etkileşim kurmak için bir komut dosyası geliştirmeyi daha az basit hale getirse de, GitHub’da yayınladıkları bir kavram kanıtı istismarında bunu nasıl yapabildiklerini gösteriyorlar.
CVE-2023-27350, SetupCompleted sınıfı içinde bulunur ve Zero Day Initiative web sitesindeki listesine göre yanlış erişim kontrolünden kaynaklanır.
Listeye göre “Bir saldırgan, kimlik doğrulamasını atlamak ve SİSTEM bağlamında rasgele kod yürütmek için bu güvenlik açığından yararlanabilir.”
Bu arada, yine PaperCut NG’yi etkileyen bir kimlik doğrulama atlamalı RCE hatası olan CVE-2023-27351, Zero Day Initiative web sitesindeki listesine göre, SecurityRequestFilter sınıfında kimlik doğrulama algoritmasının yanlış uygulanmasının bir sonucu olarak bulunuyor.
PaperCut Hatalarını Ortaya Çıkarma
Horizon3.ai’nin ayrıntılı analizi, PaperCut tarafından 19 Nisan’da PaperCut NG’de bulunan kusurların aktif saldırı altında olduğuna dair bir uyarının ardından kuruluşları ürünün en son sürümüne güncellemeye çağırdı.
Şirket, bir danışma belgesinde, PaperCut sunucularında bir müşteriden şüpheli etkinlikle ilgili ilk raporunu 17 Nisan’da aldığını, ancak daha sonra yapılan analizler, etkinliğin 13 Nisan’da başlamış olabileceğini ortaya koydu.
Trend Micro’dan araştırmacılar, sorunları orijinal olarak PaperCut’a bildirdi. Piotr Bazyl (@chudpb) CVE-2023-27351’i keşfettiği için ve anonim bir araştırmacı CVE-2023-27350’yi keşfettiği için.
PaperCut ayrıca güvenlik yönetimi şirketi Huntress’ten Joe Slowik, Caleb Stewart, Stuart Ashenbrenner, John Hammond, Jason Phelps, Sharon Martin, Kris Luzadre, Matt Anderson ve Dave Kleinatland’ın da dahil olduğu bir güvenlik araştırma ekibinin şirketin kusurları araştırmasına yardım ettiği için teşekkür etti. .
21 Nisan’da Huntress araştırmacıları, saldırganların hem meşru Atera hem de Syncro uzaktan yönetim ve bakım yazılımı araçlarını kullanarak güvenliği ihlal edilmiş sunucuları ele geçirmek için güvenlik açıklarından yararlandığını ortaya çıkardı.
Huntress araştırmacıları, “Ön analize göre, her ikisi de bu ürünlerin yasal kopyaları gibi görünüyor ve yerleşik veya eklenmiş kötü amaçlı yeteneklere sahip değiller” diye yazdı.
Araştırmacılar, tehditler iki CVE’ye bölünmüş olsa da, “nihayetinde, PaperCut Uygulama Sunucusu içinde bir yönetici kullanıcı olarak daha fazla uzlaşmaya yol açan bir kimlik doğrulama bypass’ına güveniyor” diye yazdı.
Araştırmacılar, bir tehdit aktörü, kimlik doğrulamasını atlamak için bir kusuru veya her iki kusuru kullandığında, “NT AUTHORITY\SYSTEM hesabı bağlamında çalışan sunucuda rasgele kod çalıştırabilir” diye yazdı.
Huntress araştırmacıları ayrıca, Huntress’e göre, PaperCut kusurlarının kötüye kullanılmasının, benzer faaliyetlerle ilgili daha önceki araştırmalara dayanan gelecekteki Clop fidye yazılımı etkinliğinin habercisi olabileceğini öne süren bir Truebot yük yüklemesi biçimindeki istismar sonrası kanıtları da gözlemlediler.
Huntress güvenlik araştırmacısı Caleb Stewart, CVE-2023-27350’nin nasıl kötüye kullanılabileceğini göstermek için bir kavram kanıtlama açığını yeniden oluşturdu ve videosu gönderide yer alıyor.
Kimler Siber Risk Altında?
PaperCut MF, çeşitli cihazları desteklemek ve bir kurumsal ağ üzerinden yazdırmak için yazdırma yapılandırmalarını yönetmek için kullanılan bir yazdırma yönetimi yazılımıdır. PaperCut NG, kuruluşların baskı kağıdı israfını azaltmasına yardımcı olmayı amaçlayan ayrıntılı baskı işi takibi ve raporlaması için yardımcı bir yazılımdır.
PaperCut’a göre PaperCut baskı yönetim sistemi, şirketlerin israfı en aza indirmesine ve kuruluş genelinde baskıyı kolaylaştırmasına yardımcı olmak için dünya çapındaki kuruluşlarda yüz milyondan fazla kullanıcıya sahip. Amerika Birleşik Devletleri’nde eyalet, yerel ve eğitim (SLED) ortamları, yazılımı kullanan tipik kuruluşlar arasındadır.
Horizon3.ai’ye göre, http.html:”papercut” http.html:”print” için bir Shodan sorgusu, internete açık yaklaşık 1.700 PaperCut sunucusu gösterdi ve bu sonuçların 450’sini eğitim müşterileri oluşturdu.
Huntress araştırmacıları, korunan ortamlarında, PaperCut yüklü toplam 1.014 Windows ana bilgisayarı gözlemlediklerini ve bu ana bilgisayarlardan 9087’sinin istismara açık 710 farklı kuruluşa dağıldığını bildirdiler.
Araştırmacılar, ikisi güvenlik açığı bulunan toplam yalnızca üç macOS ana bilgisayarında PaperCut’un gözlemledikleri ortamlarda kurulu olduğunu ve etkilenen tüm müşterilere olay raporları gönderdiklerini ve güncellemeler önerdiklerini de sözlerine ekledi.
Tespit ve Azaltma
PaperCut, danışma belgesinde müşterileri için uzlaşma göstergelerinin bir listesini ekledi ve güvenlik düzeltmelerini uygulamanın “olumsuz bir etkisi olmaması gerektiğini” garanti ederek yükseltme yapmalarını tavsiye etti.
Bununla birlikte, bir müşteri en son sürüme yükseltemezse – ki bu özellikle daha eski bir uygulama sürümü için geçerli olabilir – şirket, müşterilerin etkilenen sunucuya ağ erişimini kilitlemelerini önerdi.
Bunu yapmak için, harici IP’lerden Web yönetimi bağlantı noktasına (varsayılan olarak 9191 ve 9192 numaralı bağlantı noktası) gelen tüm trafiği kilitleyebilir ve güvenlik duvarından sunucuya Web yönetimi portalına gelen tüm trafiği engelleyebilirler.
Müşteriler, CVE-2023-27351’i hafifletmek için Seçenekler > Gelişmiş > Güvenlik > İzin verilen site sunucusu IP adresleri altında bulunan sunucuya yalnızca kendi ağlarındaki doğrulanmış Site Sunucularının IP adreslerine izin verecek şekilde ayarlayarak “İzin verilenler listesi” kısıtlamaları uygulayabilir. , PaperCut’a göre.