Saldırganlar, sunucuları ele geçirmek üzere Atera uzaktan yönetim yazılımını yüklemek için yaygın olarak kullanılan PaperCut MF/NG baskı yönetimi yazılımındaki ciddi güvenlik açıklarından yararlanıyor.
Yazılımın geliştiricisi, dünya çapında 70.000’den fazla şirketten 100 milyondan fazla kullanıcı tarafından kullanıldığını iddia ediyor.
İki güvenlik açığı (CVE-2023-27350 ve CVE-2023-27351 olarak izlenir), uzaktaki saldırganların kimlik doğrulamayı atlamasına ve kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda SİSTEM ayrıcalıklarına sahip güvenliği ihlal edilmiş PaperCut sunucularında rastgele kod yürütmesine olanak tanır.
Şirket, “PaperCut MF ve PaperCut NG’nin 20.1.7, 21.2.11 ve 22.0.9 ve sonraki sürümlerinde bu güvenlik açıklarının ikisi de giderildi. Düzeltmeyi içeren bu sürümlerden birine yükseltme yapmanızı şiddetle tavsiye ediyoruz” uyarısında bulundu.
Kavram kanıtı istismarı mevcut
Bugün erken saatlerde, saldırı yüzeyi değerlendirme firması Horizon3, ayrıntılı teknik bilgiler ve saldırganların kimlik doğrulamasını atlamak ve yama uygulanmamış PaperCut sunucularında kod yürütmek için kullanabilecekleri bir CVE-2023-27350 kavram kanıtı (PoC) istismarı içeren bir blog gönderisi yayınladı.
Horizon3, RCE istismarının “yazıcılar için yerleşik ‘Komut Dosyası’ işlevini kötüye kullanarak uzaktan kod yürütmeye” yardımcı olduğunu söylüyor.
Huntress ayrıca, bu devam eden saldırıların oluşturduğu tehdidi göstermek için bir PoC istismarı oluşturdu, ancak bunu henüz çevrimiçi olarak yayınlamadı (aşağıda bir video demosu mevcuttur).
Yama uygulanmamış PaperCut sunucuları zaten vahşi ortamda hedef alınırken, ek tehdit aktörleri de muhtemelen sonraki saldırılarda Horizon3’ün istismar kodunu kullanacak.
Neyse ki, bir Shodan araması, saldırganların yalnızca İnternet’e açık yaklaşık 1.700 PaperCut sunucusunu hedefleyebileceğini gösteriyor.
CISA, CVE-2023-27350 kusurunu Cuma günü aktif olarak istismar edilen güvenlik açıkları listesine ekledi ve federal kurumlara sistemlerini 12 Mayıs 2023’e kadar üç hafta içinde devam eden istismara karşı koruma talimatı verdi.
Huntress, PaperCut sunucularına hemen yama uygulayamayan yöneticilerin uzaktan istismarı önlemek için önlem almaları gerektiğini tavsiye ediyor.
Bu, bir uç cihazdaki harici IP adreslerinden web yönetimi bağlantı noktasına (varsayılan bağlantı noktası 9191) giden tüm trafiğin engellenmesinin yanı sıra yönetimin yalnızca sunucuya erişimini kısıtlamak ve potansiyel ağı önlemek için sunucunun güvenlik duvarındaki aynı bağlantı noktasına giden tüm trafiğin engellenmesini içerir. ihlaller.
Clop fidye yazılımına bağlantılar
İlk saldırıların gözlemlendiği 16 Nisan’dan bu yana bu devam eden saldırılarla bağlantılı istismar sonrası etkinliği analiz eden Huntress güvenlik araştırmacılarına göre, tehdit aktörleri, Atera ve Syncro uzaktan yönetim yazılımını yükleyen PowerShell komutlarını yürütmek için bu açığı kullanıyor.
Bu saldırılardan önce, Aralık 2022’den bu yana Clop fidye yazılımı yüklerini dağıtmak için kullanılan ve Silence siber suç grubuna bağlı bir kötü amaçlı yazılım olan TrueBot indiriciyi barındırmak ve teslim etmek için de kullanılan, 12 Nisan’da windowservicecenter.com alan adının kaydı yapıldı.
Huntress Labs, “PaperCut’un yazılımından yararlanan mevcut etkinliğin nihai hedefi bilinmemekle birlikte, bilinen bir fidye yazılımı varlığına yönelik bu bağlantılar (biraz dolaylı da olsa) endişe vericidir,” dedi.
“Potansiyel olarak, PaperCut istismarı yoluyla elde edilen erişim, kurban ağı içinde takip hareketine ve nihayetinde fidye yazılımı dağıtımına yol açan bir dayanak noktası olarak kullanılabilir.”