PaperCut kısa süre önce, NG/MF baskı yönetimi yazılımında, kimliği doğrulanmamış saldırganların yama uygulanmamış Windows sunucularında uzaktan kod yürütmesine olanak tanıyan kritik bir güvenlik açığını düzeltti.
CVE-2023-39143 olarak izlenen kusur, Horizon3 güvenlik araştırmacıları tarafından keşfedilen ve tehdit aktörlerinin gerekli olmayan düşük karmaşıklıktaki saldırıların ardından güvenliği ihlal edilmiş sistemlerdeki rastgele dosyaları okumasına, silmesine ve bu sistemlere yüklemesine olanak tanıyan iki yol geçişli zayıflık zincirinden kaynaklanıyor. Kullanıcı etkileşimi.
Horizon3, Cuma günü yayınlanan bir raporda, yalnızca harici cihaz entegrasyon ayarının değiştirildiği varsayılan olmayan yapılandırmalardaki sunucuları etkilemekle birlikte, çoğu Windows PaperCut sunucusunun bunu etkinleştirdiğini söyledi.
Horizon3, “PaperCut NG Commercial sürümü veya PaperCut MF gibi belirli PaperCut yüklemelerinde bu ayar varsayılan olarak açıktır” dedi.
“Ufuk3’te gerçek dünya ortamlarından topladığımız örnek verilere dayanarak, PaperCut kurulumlarının büyük çoğunluğunun, harici cihaz entegrasyon ayarı açıkken Windows üzerinde çalıştığını tahmin ediyoruz.”
Bir sunucunun CVE-2023-39143 saldırılarına karşı savunmasız olup olmadığını ve Windows üzerinde çalışıp çalışmadığını kontrol etmek için aşağıdaki komutu kullanabilirsiniz (200 yanıtı, sunucunun yama yapılması gerektiğini gösterir):
curl -w "%{http_code}" -k --path-as-is "https://:/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png"
Güvenlik güncellemelerini hemen yükleyemeyen yöneticiler (Horizon3’ün tavsiye ettiği gibi), bu talimatları kullanarak bir izin verilenler listesine yalnızca erişmesi gereken IP adreslerini ekleyebilir.
Bir Shodan araması, kabaca 1.800 PaperCut sunucusunun şu anda çevrimiçi olarak açığa çıktığını gösteriyor, ancak bunların tümü CVE-2023-39143 saldırılarına karşı savunmasız değil.
Fidye yazılımı çeteleri ve devlet bilgisayar korsanları tarafından hedef alındı
PaperCut sunucuları, bu yılın başlarında başka bir kimliği doğrulanmamış kritik RCE güvenlik açığından (CVE-2023–27350) ve yüksek öneme sahip bir bilgi ifşa kusurundan (CVE-2023–27351) yararlanarak birkaç fidye yazılımı çetesi tarafından hedef alındı.
Şirket, 19 Nisan’da bu güvenlik açıklarının saldırılarda aktif olarak kullanıldığını açıklayarak yöneticileri ve güvenlik ekiplerini sunucularını acilen yükseltmeye çağırdı.
İlk ifşadan birkaç gün sonra, Horizon3 güvenlik araştırmacıları bir RCE Kavram Kanıtı (PoC) istismarı yayınlayarak, ek tehdit aktörlerinin savunmasız sunucuları hedeflemesi için kapıyı açtı.
Microsoft, PaperCut sunucularını hedef alan saldırıları, güvenliği ihlal edilmiş sistemlerden kurumsal verileri çalmak için erişimi kullanan Clop ve LockBit fidye yazılımı çetelerine bağladı.
Bu veri hırsızlığı saldırılarında fidye yazılımı operasyonu, PaperCut baskı sunucuları aracılığıyla gönderilen tüm belgeleri kaydeden ‘Baskı Arşivleme’ özelliğinden yararlandı.
Neredeyse iki hafta sonra Microsoft, Muddywater ve APT35 olarak izlenen İran devlet destekli bilgisayar korsanlığı gruplarının da devam eden saldırıya katıldığını açıkladı.
CISA, CVE-2023–27350 RCE hatasını 21 Nisan’da aktif olarak yararlanılan güvenlik açıkları listesine ekledi ve tüm ABD federal kurumlarının sunucularını 12 Mayıs 2023’e kadar güvenceye almalarını emretti.