محققان امنیتی جزئیات جدیدی را در مورد اینکه چگونه مهاجمان از دو نقص در سیستم مدیریت چاپ سازمانی PaperCut - که توسط بیش از 100 میلیون مشتری در سراسر جهان استفاده میشود - برای دور زدن احراز هویت و اجرای کد از راه دور استفاده میکنند، فاش کردهاند. این ایرادات بار دیگر خطری را که چاپگرهای سازمانی و سیستمهای مربوطه نشان میدهند، برجسته میکند. تهدیدی که اغلب نادیده گرفته می شود، امنیت کلی سازمان ها را به همراه دارد.
محققان PaperCut و همچنین شرکتهای امنیتی قبلاً هشدار دادهاند که مهاجمان از آسیبپذیریها - که توسط PaperCut در بهروزرسانی ۸ مارس برای محصولات PaperCut MF و NG اصلاح شدهاند - برای کنترل نسخههای وصلهنشده نرمافزار سوءاستفاده میکنند. علاوه بر این، آژانس امنیت سایبری و امنیت زیرساخت (CISA) این نقصها را به فهرست آسیبپذیریهای شناخته شده خود اضافه کرد در آوریل 21.
The Zero Day Initiative نقص ها را به عنوان دنبال می کند ZDI-CAN-18987 و ZDI-CAN-19226; آنها همچنین در حال پیگیری هستند CVE-2023-27350 و CVE-2023-27351به ترتیب توسط پایگاه ملی آسیب پذیری NIST. به گفته PaperCut، این نقصها بر روی PaperCut MF و NG نسخه 8.0 و جدیدتر، در تمام پلتفرمهای سیستم عامل تأثیر میگذارد.
محققان در Horizon3.ai کد اکسپلویت اثبات مفهوم را برای CVE-2023-27350 منتشر کرد - خطرناک تر از دو اشکال با رتبه CVSS 9.8 در مقابل امتیاز نقص همراه آن 8.2 - در روز دوشنبه.
سوء استفاده از CVE-2023-27350
تیم Horizon3.ai همچنین یک تحلیل فنی از نحوه سوء استفاده مهاجمان از «عملکرد داخلی «اسکریپتنویسی» برای چاپگرها برای سوء استفاده از بهرهبرداری RCE را شامل میشود. محققان توضیح دادند که صفحه Device Scripting سیستم به مدیر امکان میدهد تا قلابهایی را برای سفارشیسازی چاپ در سراسر شرکت با استفاده از اسکریپتهای مبتنی بر جاوا اسکریپت و اجرا در زمینه سرویس PrintCut، که در ویندوز بهعنوان NT AUTHORITYSYSTEM اجرا میشود، ایجاد کند.
اگرچه استفاده برنامه وب PaperCut از فیلدهای فرم پویا بر اساس آخرین درخواست باعث شد که توسعه یک اسکریپت برای تعامل با سایت ساده تر نباشد، اما آنها نشان می دهند که چگونه توانسته اند این کار را در یک سوء استفاده اثبات مفهومی که در آن منتشر کردند انجام دهند. GitHub.
CVE-2023-27350 در کلاس SetupCompleted وجود دارد و با توجه به فهرست آن در وب سایت Zero Day Initiative، ناشی از کنترل دسترسی نامناسب است.
بر اساس فهرست، "یک مهاجم می تواند از این آسیب پذیری برای دور زدن احراز هویت و اجرای کد دلخواه در زمینه SYSTEM استفاده کند."
در همین حال، CVE-2023-27351، همچنین یک اشکال RCE احراز هویت بای پس که بر PaperCut NG تأثیر میگذارد، بر اساس فهرستبندی آن در وبسایت Zero Day Initiative، در نتیجه اجرای نادرست الگوریتم احراز هویت، در کلاس SecurityRequestFilter وجود دارد.
کشف اشکالات PaperCut
تجزیه و تحلیل دقیق Horizon3.ai به دنبال هشدار PaperCut در 19 آوریل مبنی بر اینکه نقص های یافت شده در PaperCut NG مورد حمله فعال قرار گرفته اند، دنبال می شود و از سازمان ها می خواهد تا به آخرین نسخه محصول به روز شوند.
این شرکت در یک مشاوره گفت اولین گزارش خود را از یک مشتری مبنی بر فعالیت مشکوک در سرور PaperCut خود در 17 آوریل دریافت کرد، اگرچه تجزیه و تحلیل بعدی نشان داد که این فعالیت ممکن است از 13 آوریل شروع شده باشد.
محققان Trend Micro در ابتدا این مشکلات را به PaperCut گزارش کردند که اعتبار آن را تایید کرده است پیوتر بازیدلو (@chudypb) برای کشف CVE-2023-27351 و یک محقق ناشناس برای کشف CVE-2023-27350.
PaperCut همچنین یک تیم تحقیقاتی امنیتی از شرکت مدیریت امنیتی Huntress - از جمله جو اسلوویک، کالب استوارت، استوارت اشنبرنر، جان هاموند، جیسون فلپس، شارون مارتین، کریس لوزادر، مت اندرسون و دیو کلیناتلند - را برای کمک به تحقیقات شرکت در مورد نقصها تایید کرد. .
در تاریخ 21 آوریل ، محققان Huntress فاش کردند که مهاجمان از این آسیبپذیریها سوء استفاده میکنند برای کنترل سرورهای در معرض خطر با استفاده از ابزارهای نرم افزاری مدیریت از راه دور و نگهداری از راه دور Atera و Syncro.
محققان Huntress نوشتند: "بر اساس تجزیه و تحلیل اولیه، به نظر می رسد هر دو کپی قانونی از این محصولات هستند و هیچ گونه قابلیت مخرب داخلی یا اضافه ای ندارند."
محققان نوشتند در حالی که تهدیدها به دو CVE تقسیم میشوند، اما هر دو در نهایت به یک دور زدن احراز هویت متکی هستند که منجر به سازش بیشتر به عنوان یک کاربر مدیریتی در PaperCut Application Server میشود.
محققین نوشتند هنگامی که یک عامل تهدید از یک نقص یا هر دو نقص برای دور زدن احراز هویت استفاده میکند، ممکن است کد دلخواه را روی سروری که در زمینه حساب NT AUTHORITYSYSTEM اجرا میشود، اجرا کند.
به گفته Huntress، محققان Huntress همچنین شواهد پس از بهره برداری را در قالب نصب محموله Truebot مشاهده کردند که نشان می دهد بهره برداری از نقص های PaperCut می تواند پیشروی برای فعالیت باج افزار Clop در آینده بر اساس تحقیقات قبلی در مورد فعالیت مشابه باشد.
کالب استوارت، محقق امنیتی Huntress نیز یک سوء استفاده اثبات مفهومی را بازسازی کرد تا نشان دهد چگونه CVE-2023-27350 می تواند مورد سوء استفاده قرار گیرد، ویدئویی از آن در پست موجود است.
چه کسی در معرض خطر سایبری است
PaperCut MF نرم افزار مدیریت چاپ برای پشتیبانی از دستگاه های مختلف و مدیریت تنظیمات چاپ برای چاپ در سراسر یک شبکه سازمانی است. PaperCut NG یک نرم افزار همراه برای ردیابی و گزارش دقیق کارهای چاپی است که هدف آن کمک به سازمان ها در کاهش ضایعات کاغذ چاپ است.
به گفته PaperCut، سیستم مدیریت چاپ PaperCut بیش از صد میلیون کاربر در سازمانها در سراسر جهان دارد تا به شرکتها کمک کند تا ضایعات را به حداقل برسانند و چاپ را در سراسر سازمان تسهیل کنند. در ایالات متحده، محیط های ایالتی، محلی و آموزشی (SLED) از جمله سازمان های معمولی هستند که از این نرم افزار استفاده می کنند.
به گفته Horizon1,700.ai، یک جستجوی Shodan برای http.html:"papercut" http.html:"print" تقریباً 450 سرور PaperCut در معرض اینترنت را نشان داد که مشتریان آموزشی شامل 3 مورد از این نتایج بودند.
به گفته آنها، محققان Huntress در محیط های محافظت شده آن، 1,014 هاست ویندوز را با نصب PaperCut مشاهده کردند که 9087 مورد از این میزبان ها در 710 سازمان متمایز در معرض سوء استفاده قرار گرفتند.
محققان افزودند که تنها سه میزبان macOS که دو تای آنها آسیب پذیر بودند، PaperCut را در محیط هایی که مشاهده می کردند نصب کرده بودند و اشاره کردند که آنها گزارش های حادثه را برای همه مشتریان آسیب پذیر ارسال کرده و به روز رسانی ها را توصیه می کنند.
تشخیص و کاهش
PaperCut فهرستی از شاخصهای سازش را برای مشتریان خود در مشاوره خود گنجانده و به آنها توصیه میکند که آنها را ارتقا دهند، و اطمینان میدهد که اعمال اصلاحات امنیتی "نباید تاثیر منفی" داشته باشد.
با این حال، اگر مشتری نتواند به آخرین نسخه ارتقاء دهد - که می تواند به ویژه در مورد نسخه برنامه قدیمی تر صادق باشد - شرکت توصیه می کند که مشتریان دسترسی شبکه را به سرور آسیب دیده قفل کنند.
برای انجام این کار، آنها می توانند تمام ترافیک ورودی از IP های خارجی را به پورت مدیریت وب (به طور پیش فرض پورت 9191 و 9192) قفل کنند و تمام ترافیک ورودی به پورتال مدیریت وب در فایروال به سرور را مسدود کنند.
برای کاهش CVE-2023-27351، مشتریان همچنین میتوانند محدودیتهای «لیست مجاز» را برای سروری که در زیر گزینهها > پیشرفته > امنیت > آدرسهای IP سرور سایت مجاز یافت میشود اعمال کنند و آن را به گونهای تنظیم کنند که فقط به آدرسهای IP سرورهای سایت تأیید شده در شبکههای خود اجازه دهد. به گزارش PaperCut.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/remote-workforce/attackers-abuse-papercut-rce-flaws-to-take-over-enterprise-print-servers
- : دارد
- :است
- :نه
- 1
- 100
- 7
- 710
- 8
- 9
- a
- قادر
- درباره ما
- سو استفاده کردن
- دسترسی
- مطابق
- حساب
- در میان
- فعال
- فعالیت
- اضافه
- آدرس
- اداری
- پیشرفته
- مشاوره
- اثر
- موثر بر
- نمایندگی
- AI
- الگوریتم
- معرفی
- قبلا
- همچنین
- در میان
- an
- تحلیل
- و
- و زیرساخت
- ناشناس
- هر
- ظاهر شدن
- کاربرد
- درخواست
- با استفاده از
- تقریبا
- آوریل
- هستند
- AS
- At
- حمله
- تصدیق
- مستقر
- BE
- بودن
- مسدود کردن
- هر دو
- اشکال
- اشکالات
- ساخته شده در
- by
- CAN
- کاتالوگ
- کلاس
- رمز
- شرکت
- شرکت
- سازش
- در معرض خطر
- زمینه
- کنترل
- میتوانست
- مشتری
- مشتریان
- سفارشی
- برش
- امنیت سایبری
- خطرناک
- پایگاه داده
- دیو
- روز
- به طور پیش فرض
- نشان دادن
- دقیق
- جزئیات
- توسعه
- در حال توسعه
- دستگاه
- دستگاه ها
- کشف
- متمایز
- do
- پایین
- پویا
- آموزش
- را قادر می سازد
- سرمایه گذاری
- محیط
- مدرک
- اجرا کردن
- وجود دارد
- توضیح داده شده
- بهره برداری
- بهره برداری
- سوء استفاده قرار گیرد
- قرار گرفتن در معرض
- خارجی
- تسهیل کردن
- زمینه
- فایروال
- شرکت
- نام خانوادگی
- نقص
- معایب
- به دنبال آن است
- برای
- فرم
- یافت
- از جانب
- قابلیت
- بیشتر
- آینده
- آیا
- he
- کمک
- کمک
- نماد
- قلاب
- میزبان
- چگونه
- HTML
- HTTP
- HTTPS
- تأثیر
- پیاده سازی
- in
- حادثه
- مشمول
- از جمله
- شاخص ها
- شالوده
- ابتکار عمل
- نصب شده
- تعامل
- اینترنت
- به
- تحقیق
- IP
- آدرس های IP
- مسائل
- IT
- ITS
- JOE
- جان
- JPG
- شناخته شده
- نام
- آخرین
- منجر می شود
- قانونی
- قدرت نفوذ
- فهرست
- فهرست
- محلی
- MacOS در
- ساخته
- نگهداری
- مدیریت
- مدیریت
- مارس
- مارتین
- ممکن است..
- میلیون
- کاهش
- دوشنبه
- بیش
- علاوه بر این
- ملی
- منفی
- شبکه
- شبکه
- جدید
- نیست
- of
- on
- فقط
- گزینه
- or
- سازمان های
- در اصل
- OS
- روی
- به طور کلی
- با ما
- مقاله
- ویژه
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- پورتال
- پیشگام
- قبلی
- چاپ
- محصول
- محصولات
- محفوظ
- باجافزار
- رتبه
- اخذ شده
- توصیه می شود
- مربوط
- منتشر شد
- دور
- گزارش
- گزارش
- گزارش
- گزارش ها
- درخواست
- تحقیق
- پژوهشگر
- محققان
- محدودیت های
- نتیجه
- نتایج
- نشان داد
- خطر
- در حال اجرا
- s
- سعید
- اسکریپت
- تیم امنیت لاتاری
- سرور
- سرویس
- محیط
- باید
- مشابه
- سایت
- So
- نرم افزار
- انشعاب
- گسترش
- آغاز شده
- دولت
- ایالات
- ساده
- پشتیبانی
- مشکوک
- سیستم
- سیستم های
- گرفتن
- تیم
- فنی
- تجزیه و تحلیل فنی
- نسبت به
- که
- La
- شان
- آنها
- آنجا.
- اینها
- آنها
- این
- کسانی که
- تهدید
- تهدید
- سه
- به
- ابزار
- جمع
- پیگردی
- ترافیک
- روند
- درست
- نوعی
- در نهایت
- زیر
- متحد
- ایالات متحده
- بروزرسانی
- به روز رسانی
- ارتقاء
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- مختلف
- تایید
- نسخه
- در مقابل
- تصویری
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- هشدار
- ضایعات
- وب
- برنامه تحت وب
- سایت اینترنتی
- خوب
- بود
- که
- پنجره
- با
- در داخل
- در سرتاسر جهان
- یوتیوب
- زفیرنت
- صفر
- روز صفر