Turvateadlased on paljastanud uusi üksikasju selle kohta, kuidas ründajad kasutavad ära kaks viga ettevõtte printimishaldussüsteemis PaperCut (mida kasutab üle 100 miljoni kliendi üle maailma), et autentimisest mööda hiilida ja kaugkoodi käivitada. Vead rõhutavad taas ohtu, et ettevõtete printerid ja nendega seotud süsteemid sageli tähelepanuta jäetud oht, kujutavad endast organisatsioonide üldist turvalisust.
PaperCuti ja turvafirmade teadlased on juba hoiatanud, et ründajad kasutavad turvaauke, mille PaperCut 8. märtsil oma PaperCut MF ja NG toodete värskenduses parandas, et võtta üle tarkvara parandamata versioonid. Veelgi enam, küberturvalisuse ja infrastruktuuri turvaagentuur (CISA) lisas vead oma teadaolevate ärakasutatud turvaaukude kataloogi aprillil 21.
Nullpäeva algatus jälgib vigu ZDI-CAN-18987 ja ZDI-CAN-19226; neid jälgitakse ka kui CVE-2023-27350 ja CVE-2023-27351, vastavalt NISTi riikliku haavatavuse andmebaasi. PaperCuti andmetel mõjutavad vead PaperCut MF ja NG versiooni 8.0 ja uuemaid, kõigil operatsioonisüsteemi platvormidel.
Teadlased Horizon3.ai avaldas CVE-2023-27350 jaoks kontseptsiooni tõestamise koodi — esmaspäeval on ohtlikum kahest veast, mille CVSS-i reiting on 9.8, võrreldes selle kaaslase vea reitinguga 8.2.
CVE-2023-27350 kuritarvitamine
Horizon3.ai meeskond hõlmas ka tehnilist analüüsi selle kohta, kuidas ründajad kuritarvitavad "printerite sisseehitatud skriptimise funktsiooni", et kuritarvitada RCE ärakasutamist. Süsteemi Device Scripting leht võimaldab administraatoril töötada välja konksud, et kohandada printimist kogu ettevõttes JavaScripti-põhiste skriptide abil ja käivitatakse teenuse PrintCut kontekstis, mis Windowsis töötab NT AUTHORITYSYSTEM-ina, selgitasid teadlased.
Kuigi PaperCuti veebirakenduse dünaamiliste vormiväljade kasutamine, mis põhines viimasel päringul, muutis saidiga suhtlemiseks skripti väljatöötamise lihtsamaks, demonstreerivad nad, kuidas nad suutsid seda teha kontseptsiooni tõestusega, mille nad avaldasid GitHub.
CVE-2023-27350 eksisteerib SetupCompleted klassis ja tuleneb ebaõigest juurdepääsukontrollist, vastavalt selle loendile Zero Day Initiative'i veebisaidil.
Loendi kohaselt võib ründaja seda haavatavust ära kasutada, et autentimisest mööda minna ja SÜSTEEMI kontekstis suvalist koodi käivitada.
Samal ajal eksisteerib CVE-2023-27351, samuti PaperCut NG-d mõjutav autentimisest möödaviimise RCE-viga, kuna see on loetletud Zero Day Initiative'i veebisaidil, klassis SecurityRequestFilter autentimisalgoritmi ebaõige rakendamise tõttu.
PaperCuti vigade paljastamine
Horizon3.ai üksikasjalik analüüs järgneb PaperCuti 19. aprilli hoiatusele, et PaperCut NG leitud vead olid aktiivse rünnaku all, kutsudes organisatsioone üles uuendama toote uusimale versioonile.
ettevõte ütles nõuandes et ta sai kliendilt esimese teate kahtlasest tegevusest nende PaperCuti serveris 17. aprillil, kuigi hilisem analüüs näitas, et tegevus võis alata juba 13. aprillil.
Trend Micro teadlased teatasid probleemidest algselt PaperCutile, kes on krediteerinud Piotr Bazydlo (@chudypb) CVE-2023-27351 avastamise eest ja anonüümne uurija CVE-2023-27350 avastamise eest.
PaperCut tunnustas ka turvahaldusfirma Huntressi turbeuuringute meeskonda – sealhulgas Joe Slowik, Caleb Stewart, Stuart Ashenbrenner, John Hammond, Jason Phelps, Sharon Martin, Kris Luzadre, Matt Anderson ja Dave Kleinatland – abi eest ettevõttel puuduste uurimisel. .
21. aprillil Huntressi uurijad paljastasid, et ründajad kasutasid turvaauke ära ohustatud serverite ülevõtmiseks, kasutades nii seaduslikke Atera kui ka Syncro kaughaldus- ja hooldustarkvara tööriistu.
"Esialgse analüüsi põhjal näivad mõlemad olevat nende toodete seaduslikud koopiad ja neil ei ole sisseehitatud ega lisatud pahatahtlikku võimet," kirjutasid Huntressi teadlased.
Kuigi ohud on jagatud kaheks CVE-ks, "toetuvad nad mõlemad lõpuks autentimisest möödasõidule, mis viib PaperCuti rakendusserveri administratiivkasutajana täiendavate kompromissideni", kirjutasid teadlased.
Kui ohustaja kasutab autentimisest möödahiilimiseks viga või mõlemat viga, võib ta seejärel käivitada suvalise koodi NT AUTHORITYSYSTEM konto kontekstis töötavas serveris, kirjutasid teadlased.
Huntressi sõnul jälgisid Huntressi uurijad ka kasutusjärgseid tõendeid Trueboti kasuliku koorma installeerimise näol, mis viitavad sellele, et PaperCuti vigade ärakasutamine võib Huntressi sõnul olla tulevase Clopi lunavarategevuse eelkäija sarnase tegevuse varasema uurimise põhjal.
Huntressi turvateadlane Caleb Stewart lõi ka kontseptsiooni tõestamise võtte, et näidata, kuidas Kasutada võib CVE-2023-27350, mille video on postituses.
Kes on küberriskis
PaperCut MF on prindihaldustarkvara, mis toetab erinevaid seadmeid ja haldab prindikonfiguratsioone printimiseks üle ettevõtte võrgu. PaperCut NG on kaastarkvara prinditööde üksikasjalikuks jälgimiseks ja aruandluseks, mille eesmärk on aidata organisatsioonidel printimispaberijäätmeid vähendada.
PaperCuti andmetel on PaperCuti prindihaldussüsteemil organisatsioonides üle saja miljoni kasutaja üle maailma, et aidata ettevõtetel jäätmeid minimeerida ja kogu ettevõttes printimist hõlbustada. Ameerika Ühendriikides on osariigi, kohalikud ja hariduskeskkonnad (SLED) tüüpilised tarkvara kasutavad organisatsioonid.
Horizon1,700.ai andmetel näitas Shodani päring http.html:”papercut” http.html:”print” kohta ligikaudu 450 Internetis avatud PaperCuti serverit, millest hariduse kliendid hõlmasid 3 tulemust.
Nad teatasid, et Huntressi teadlased on oma kaitstud keskkondades jälginud kokku 1,014 Windowsi hosti, kuhu oli installitud PaperCut, ja 9087 neist paiknesid 710 erinevas organisatsioonis, mis on ekspluateerimise suhtes haavatavad.
Ainult kolmes MacOS-i hostis, millest kaks olid haavatavad, oli nende vaadeldud keskkondadesse installitud PaperCut, lisasid teadlased, märkides, et nad saatsid kõikidele mõjutatud klientidele juhtumite aruanded ja soovitasid värskendusi.
Avastamine ja leevendamine
PaperCut lisas oma soovitustesse oma klientide jaoks kompromissinäitajate loendi ja soovitas neil uuendada, tagades, et turvaparanduste rakendamine "ei tohiks avaldada negatiivset mõju".
Kui aga klient ei saa uusimale versioonile üle minna – mis võib juhtuda eelkõige vanema rakenduse versiooniga – soovitas ettevõte klientidel lukustada võrgujuurdepääs mõjutatud serverile.
Selleks saavad nad lukustada kogu sissetuleva liikluse välistest IP-aadressidest veebihaldusporti (vaikimisi portid 9191 ja 9192) ja blokeerida kogu tulemüüri veebihaldusportaali siseneva liikluse serverisse.
CVE-2023-27351 leevendamiseks saavad kliendid rakendada „Lubade loendi” piiranguid serverile, mis asub jaotises Valikud > Täpsem > Turvalisus > Lubatud saidiserveri IP-aadressid, seades selle lubama ainult kinnitatud saidiserverite IP-aadresse nende võrkudes. , vastavalt PaperCutile.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Allikas: https://www.darkreading.com/remote-workforce/attackers-abuse-papercut-rce-flaws-to-take-over-enterprise-print-servers
- :on
- :on
- :mitte
- 1
- 100
- 7
- 710
- 8
- 9
- a
- Võimalik
- MEIST
- kuritarvitamise
- juurdepääs
- Vastavalt
- konto
- üle
- aktiivne
- tegevus
- lisatud
- aadressid
- haldus-
- edasijõudnud
- nõuandev
- mõjutada
- mõjutades
- agentuur
- AI
- algoritm
- Materjal: BPA ja flataatide vaba plastik
- juba
- Ka
- vahel
- an
- analüüs
- ja
- infrastruktuuri
- anonüümne
- mistahes
- ilmuma
- taotlus
- kehtima
- Rakendades
- umbes
- Aprill
- OLEME
- AS
- At
- rünnak
- Autentimine
- põhineb
- BE
- on
- Blokeerima
- mõlemad
- Bug
- vead
- sisseehitatud
- by
- CAN
- kataloog
- klass
- kood
- Ettevõtted
- ettevõte
- kompromiss
- Kompromissitud
- kontekst
- kontrollida
- võiks
- klient
- Kliendid
- kohandada
- lõigatud
- Küberturvalisus
- Ohtlik
- andmebaas
- Dave
- päev
- vaikimisi
- näitama
- üksikasjalik
- detailid
- arendama
- arenev
- seade
- seadmed
- avastades
- eristatav
- do
- alla
- dünaamiline
- Käsitöö
- võimaldab
- ettevõte
- keskkondades
- tõend
- täitma
- olemas
- selgitas
- Ekspluateeri
- kasutamine
- Exploited
- avatud
- väline
- hõlbustada
- Valdkonnad
- tulemüüri
- Firma
- esimene
- viga
- vigu
- järgneb
- eest
- vorm
- avastatud
- Alates
- funktsionaalsus
- edasi
- tulevik
- Olema
- he
- aitama
- aidates
- Esile tõstma
- Konksud
- hosts
- Kuidas
- HTML
- http
- HTTPS
- mõju
- täitmine
- in
- juhtum
- lisatud
- Kaasa arvatud
- näitajad
- Infrastruktuur
- algatus
- paigaldatud
- suhelda
- Internet
- sisse
- uurimine
- IP
- IP-aadressid
- küsimustes
- IT
- ITS
- JOE
- John
- jpg
- teatud
- viimane
- hiljemalt
- Leads
- õigustatud
- Finantsvõimendus
- nimekiri
- loetelu
- kohalik
- MacOS
- tehtud
- hooldus
- juhtima
- juhtimine
- Märts
- Martin
- mai..
- miljon
- Leevendada
- Esmaspäev
- rohkem
- Pealegi
- riiklik
- negatiivne
- võrk
- võrgustikud
- Uus
- nst
- of
- on
- ainult
- Valikud
- or
- organisatsioonid
- algselt
- OS
- üle
- üldine
- lehekülg
- Paber
- eriti
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Portal
- eelkäija
- eelmine
- trükk
- Toode
- Toodet
- kaitstud
- ransomware
- hinnang
- saadud
- soovitatav
- seotud
- vabastatud
- kauge
- aru
- Teatatud
- Aruandlus
- Aruanded
- taotleda
- teadustöö
- uurija
- Teadlased
- piirangud
- kaasa
- Tulemused
- Revealed
- Oht
- jooksmine
- s
- Ütlesin
- skripte
- turvalisus
- Serverid
- teenus
- kehtestamine
- peaks
- sarnane
- site
- So
- tarkvara
- jagada
- laiali
- alustatud
- riik
- Ühendriigid
- lihtne
- toetama
- kahtlane
- süsteem
- süsteemid
- Võtma
- meeskond
- Tehniline
- Tehniline analüüs
- kui
- et
- .
- oma
- Neile
- Seal.
- Need
- nad
- see
- need
- oht
- ähvardused
- kolm
- et
- töövahendid
- Summa
- Jälgimine
- liiklus
- Trend
- tõsi
- tüüpiline
- lõpuks
- all
- Ühendatud
- Ühendriigid
- Värskendused
- Uudised
- upgrade
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- eri
- kinnitatud
- versioon
- Versus
- Video
- Haavatavused
- haavatavus
- Haavatav
- hoiatus
- Jäätmed
- web
- Veebirakendus
- veebisait
- Hästi
- olid
- mis
- aknad
- koos
- jooksul
- ülemaailmne
- youtube
- sephyrnet
- null
- Null päev