攻撃者は、広く使用されている PaperCut MF/NG 印刷管理ソフトウェアの深刻な脆弱性を悪用して、Atera のリモート管理ソフトウェアをインストールし、サーバーを乗っ取っています。
このソフトウェアの開発者は、世界中の 70,000 を超える企業の 1 億人を超えるユーザーがこのソフトウェアを使用していると主張しています。
2 つのセキュリティ上の欠陥 ( CVE-2023-27350およびCVE-2023-27351として追跡) により、リモートの攻撃者は認証をバイパスし、侵害された PaperCut サーバー上で SYSTEM 権限を使用して、ユーザーの操作を必要としない単純な攻撃で任意のコードを実行できます。
「これらの脆弱性は両方とも、PaperCut MF および PaperCut NG バージョン 20.1.7、21.2.11、および 22.0.9 以降で修正されています。修正を含むこれらのバージョンのいずれかにアップグレードすることを強くお勧めします」と同社は警告しています。
概念実証のエクスプロイトが利用可能
本日、攻撃対象領域評価会社の Horizon3 は、詳細な技術情報と CVE-2023-27350 概念実証 (PoC) エクスプロイトを含むブログ投稿を公開しました。攻撃者はこれを使用して認証をバイパスし、パッチが適用されていない PaperCut サーバーでコードを実行できます。
Horizon3 によると、 RCE エクスプロイトは、「プリンターに組み込まれている「スクリプト」機能を悪用して、リモートでコードを実行する」のに役立つとのことです。
ハントレスはまた、これらの進行中の攻撃によってもたらされる脅威を紹介するために PoC エクスプロイトを作成しましたが、まだオンラインで公開していません (以下のビデオ デモが利用可能です)。
パッチが適用されていない PaperCut サーバーはすでに実際に標的にされていますが、追加の脅威アクターも、さらなる攻撃で Horizon3 のエクスプロイト コードを使用する可能性があります。
幸いなことに、 Shodan の検索によると、攻撃者はインターネットに公開された約 1,700 の PaperCut サーバーしか標的にできませんでした。
CISA は金曜日にCVE-2023-27350 の脆弱性を積極的に悪用されている脆弱性のリストに追加し、2023 年 5 月 12 日までに 3 週間以内に進行中の悪用からシステムを保護するよう連邦機関に命じました。
ハントレスは、PaperCut サーバーにパッチをすぐに適用できない管理者は、リモートからの悪用を防ぐ手段を講じるべきだとアドバイスしています。
これには、エッジ デバイス上の外部 IP アドレスから Web 管理ポート (デフォルト ポート 9191) へのすべてのトラフィックをブロックすること、およびサーバーのファイアウォール上の同じポートへのすべてのトラフィックをブロックして、管理アクセスをサーバーのみに制限し、潜在的なネットワークを防止することが含まれます。違反します。
Clop ランサムウェアへのリンク
最初の攻撃が観測された 4 月 16 日以降、これらの進行中の攻撃に関連するエクスプロイト後の活動を分析してきたハントレスのセキュリティ研究者によると、攻撃者はこの欠陥を使用して、Atera および Syncro リモート管理ソフトウェアをインストールする PowerShell コマンドを実行しています。
これらの攻撃の前に、4 月 12 日にwindowservicecenter.comドメインが登録されました。このドメインは、Silence サイバー犯罪グループにリンクされ、2022 年 12 月以降、 Clop ランサムウェア ペイロードを展開するために使用されたマルウェアである TrueBot ダウンローダーをホストおよび配信するためにも使用されました。
「PaperCut のソフトウェアを利用した現在の活動の最終的な目的は不明ですが、既知のランサムウェア エンティティとのこれらのリンクは (多少状況に応じて) 懸念されます」と Huntress Labs は述べています。
「潜在的に、PaperCut のエクスプロイトによって得られたアクセスは、被害者のネットワーク内での後続の動き、そして最終的にはランサムウェアの展開につながる足がかりとして使用される可能性があります。」
Comments