PaperCut は最近、NG/MF 印刷管理ソフトウェアの重大なセキュリティ脆弱性を修正しました。この脆弱性により、認証されていない攻撃者がパッチを適用していない Windows サーバー上でリモート コードを実行できるようになります。
CVE-2023-39143として追跡されるこの欠陥は、Horizon3 セキュリティ研究者によって発見された一連の 2 つのパス トラバーサルの脆弱性に起因しており、攻撃者は、複雑性の低い攻撃を必要とせず、侵害されたシステム上の任意のファイルを読み取り、削除、アップロードすることができます。ユーザーのインタラクション。
Horizon3 は、外部デバイス統合設定が切り替えられているデフォルト以外の構成のサーバーにのみ影響を及ぼしますが、ほとんどの Windows PaperCut サーバーでこの機能が有効になっていると、金曜日に公開されたレポートで述べています。
「この設定は、PaperCut NG Commercial バージョンや PaperCut MF など、PaperCut の特定のインストールではデフォルトでオンになっています」と Horizon3 は述べています。
「Horizon3 で実際の環境から収集したサンプル データに基づいて、PaperCut インストールの大部分は外部デバイス統合設定がオンになった Windows 上で実行されていると推定しています。」
次のコマンドを使用して、サーバーが CVE-2023-39143 攻撃に対して脆弱かどうか、また Windows 上で実行されているかどうかを確認できます (200 応答はサーバーにパッチが必要であることを示します)。
curl -w "%{http_code}" -k --path-as-is "https://<IP>:<port>/custom-report-example/......deploymentsharpiconshome-app.png"
(Horizon3 がアドバイスするように) セキュリティ アップデートをすぐにインストールできない管理者は、次の手順を使用して、アクセスが必要な IP アドレスのみを許可リストに追加できます。
Shodan の検索によると、現在約 1,800 台の PaperCut サーバーがオンラインで公開されていますが、すべてが CVE-2023-39143 攻撃に対して脆弱であるわけではありません。
ランサムウェアギャングや国家ハッカーの標的に
PaperCut サーバーは、今年初めに、別の重大な未認証 RCE 脆弱性 (CVE-2023–27350) と重大度の高い情報漏えいの欠陥 (CVE-2023–27351) を悪用して、複数のランサムウェア ギャングの標的になりました。
同社は4月19日、これらの脆弱性が攻撃に積極的に悪用されていることを明らかにし、管理者やセキュリティチームにサーバーを早急にアップグレードするよう呼び掛けた。
最初の公開から数日後、Horizon3 セキュリティ研究者はRCE 概念実証 (PoC) エクスプロイトをリリースし、脆弱なサーバーを標的とする追加の攻撃者に扉を開きました。
Microsoft は、PaperCut サーバーを標的とした攻撃を、侵害されたシステムから企業データを盗むためにアクセスを使用した Clop および LockBit ランサムウェア ギャングと関連付けました。
これらのデータ盗難攻撃では、ランサムウェアの操作は、PaperCut 印刷サーバーを介して送信されたすべてのドキュメントを保存する「プリント アーカイブ」機能を利用しました。
ほぼ 2 週間後、マイクロソフトは、 マディウォーターを追跡していたイラン国家支援のハッカー グループとAPT35も進行中の攻撃に参加していたことを明らかにしました。
CISA は 4 月 21 日、CVE-2023–27350 RCE バグを積極的に悪用されている脆弱性リストに追加し、すべての米国連邦機関に対し、2023 年 5 月 12 日までにサーバーを保護するよう命じました。
Comments