PaperCut logo

印刷管理ソフトウェアの開発者である PaperCut は、ハッカーが脆弱なサーバーへのアクセスを得るために積極的に欠陥を悪用しているため、ソフトウェアを直ちに更新するよう顧客に警告しています。

PaperCut は、すべての主要なブランドおよびプラットフォームと互換性のある印刷管理ソフトウェアを作成します。大企業、国家機関、教育機関で使用されており、公式ウェブサイトによると、100 か国以上の何億人もの人々にサービスを提供しています。

同社は、2023 年 1 月 10 日にサイバーセキュリティの専門家であるトレンド マイクロから 2 つのレポートを受け取り、PaperCut MF/NG に影響を与える深刻度が高く重大な 2 つの欠陥について同社に通知したと述べています。

2つの欠陥は次のとおりです。

  • ZDI-CAN-18987 / PO-1216 : すべての OS プラットフォーム上のすべての PaperCut MF または NG バージョン 8.0 以降に影響する、認証されていないリモート コード実行の欠陥で、アプリケーション サーバーとサイト サーバーの両方が対象です。 (CVSS v3.1 スコア: 9.8 – クリティカル)
  • ZDI-CAN-19226 / PO-1219 : アプリケーション サーバーのすべての OS プラットフォームで、すべての PaperCut MF または NG バージョン 15.0 以降に影響する、認証されていない情報開示の欠陥。 (CVSS v3.1 スコア: 8.2 – 高)

本日、ソフトウェア開発者は 2023 年 3 月のセキュリティ速報を更新し、脆弱性が現在ハッカーによって積極的に悪用されていることを顧客に警告しました。

「2023 年 4 月 18 日の時点で、パッチを適用していないサーバーが実際に悪用されていることを示唆する証拠があります (特に ZDI-CAN-18987 / PO-1216)」 とアドバイザリを読みます。

「予防措置として、これらの脆弱性についてあまり多くを明らかにすることはできません。」

トレンドマイクロは、2023 年 5 月 10 日に欠陥に関する詳細情報を公開し、影響を受ける組織がセキュリティ更新プログラムを適用するのに十分な時間を与えると述べています。

影響を受けるバージョンのユーザーは、PaperCut MF および PaperCut NG バージョン 20.1.7、21.2.11、および 22.0.9 以降にアップグレードすることをお勧めします。製品のアップグレード方法の詳細については、 このガイドを参照してください

19 より古いバージョンは「サポート終了」に達しており、サポートされていないため、PaperCut はこれらのリリースのセキュリティ アップデートを提供しません。 PaperCut は、企業がサポートされていない古いバージョンを使用している場合、更新されたライセンスを購入することを推奨しています。

PaperCut には最初の欠陥に対する軽減策はありませんが、2 つ目の欠陥は、[オプション] > [詳細設定] > [セキュリティ] > [許可されたサイト サーバーの IP アドレス] の下にある [許可リスト] 制限を適用し、これを設定して、検証済みのサイト サーバーの IP アドレスのみを許可することで軽減できます。あなたのネットワーク。

侵害されたサーバーを確認する

PaperCut は、サーバーが侵害されたかどうかを 100% 確実に判断する方法はないと述べていますが、管理者が調査のために次の手順を実行することを推奨しています。

  1. PaperCut 管理インターフェイス内の [ログ] > [アプリケーション ログ] で疑わしいアクティビティを探します。
  2. 特に、[セットアップ ウィザード] というユーザーからの更新に注意してください。
  3. 作成されている新しい (疑わしい) ユーザーや、改ざんされているその他の構成キーを探します。
  4. Application Server サーバーのログがデバッグ モードになっている場合は、サーバーのインストールまたはアップグレードとは関係なく、一度に SetupCompleted を示す行があるかどうかを確認してください。サーバー ログは、たとえば [app-path]/server/logs/*.* にあります。ここで、server.log は通常、最新のログ ファイルです。

上記は悪意のあるアクティビティを明らかにする可能性がありますが、攻撃者がログからアクティビティの痕跡を削除した可能性があることを強調することが不可欠です。

したがって、サーバーが侵害された疑いがある管理者は、バックアップを作成し、アプリケーション サーバーを消去し、安全なバックアップ ポイントからすべてを再構築することをお勧めします。