Varnostni raziskovalci so razkrili nove podrobnosti o tem, kako napadalci izkoriščajo dve napaki v sistemu za upravljanje tiskanja v podjetju PaperCut, ki ga uporablja več kot 100 milijonov strank po vsem svetu, da zaobidejo avtentikacijo in izvedejo oddaljeno kodo. Pomanjkljivosti ponovno poudarjajo tveganje, da bodo poslovni tiskalniki in povezani sistemi, pogosto spregledana grožnja, predstavljajo splošno varnost organizacij.
Raziskovalci iz podjetja PaperCut in varnostna podjetja so že opozorili, da napadalci izkoriščajo ranljivosti, ki jih je PaperCut popravil v posodobitvi svojih izdelkov PaperCut MF in NG 8. marca, da bi prevzeli nepopravljene različice programske opreme. Poleg tega Agencija za kibernetsko varnost in varnost infrastrukture (CISA) dodal pomanjkljivosti v svoj katalog znanih izkoriščenih ranljivosti aprila 21.
Pobuda Zero Day sledi napakam kot ZDI-CAN-18987 in ZDI-CAN-19226; jih tudi spremljajo kot CVE-2023-27350 in CVE-2023-27351, v tem zaporedju, z nacionalno zbirko podatkov o ranljivosti NIST. Napake vplivajo na PaperCut MF in NG različice 8.0 in novejše na vseh platformah OS, glede na PaperCut.
Raziskovalci v Ljubljani Horizon3.ai je izdal kodo izkoriščanja za dokaz koncepta za CVE-2023-27350 — nevarnejši od obeh hroščev z oceno CVSS 9.8 v primerjavi z oceno spremljevalne napake 8.2 — v ponedeljek.
Zloraba CVE-2023-27350
Ekipa Horizon3.ai je vključila tudi tehnično analizo o tem, kako napadalci zlorabljajo »vgrajeno funkcijo 'Scripting' za tiskalnike« za zlorabo izkoriščanja RCE. Stran Device Scripting v sistemu omogoča skrbniku, da razvije kljuke za prilagajanje tiskanja v podjetju z uporabo skriptov, ki temeljijo na JavaScriptu in se izvajajo v kontekstu storitve PrintCut, ki se v sistemu Windows izvaja kot NT AUTHORITYSYSTEM, so pojasnili raziskovalci.
Čeprav je zaradi uporabe dinamičnih polj obrazcev spletne aplikacije PaperCut na podlagi zadnje zahteve razvoj skripta za interakcijo s spletnim mestom manj enostaven, so prikazali, kako jim je to uspelo v izkoriščanju dokazila o konceptu, ki so ga izdali dne GitHub.
CVE-2023-27350 obstaja v razredu SetupCompleted in je posledica nepravilnega nadzora dostopa, glede na njegov seznam na spletnem mestu Zero Day Initiative.
"Napadalec lahko izkoristi to ranljivost, da zaobide avtentikacijo in izvede poljubno kodo v kontekstu SISTEMA," je navedeno na seznamu.
Medtem CVE-2023-27351, prav tako napaka RCE ob avtentikaciji, ki vpliva na PaperCut NG, obstaja v razredu SecurityRequestFilter kot posledica nepravilne implementacije algoritma za avtentikacijo, glede na njegov seznam na spletnem mestu Zero Day Initiative.
Odkrivanje napak PaperCut
Podrobna analiza Horizon3.ai sledi opozorilu PaperCuta 19. aprila, da so bile napake, odkrite v PaperCut NG, pod aktivnim napadom, organizacije pa pozivajo, naj posodobijo na najnovejšo različico izdelka.
podjetje je dejal v svetovanju da je prvo poročilo od stranke o sumljivi dejavnosti na njihovem strežniku PaperCut prejel 17. aprila, čeprav je kasnejša analiza pokazala, da se je aktivnost morda začela že 13. aprila.
Raziskovalci iz podjetja Trend Micro so o težavah prvotno poročali PaperCutu, ki je pripisal zasluge Piotr Bazydlo (@chudypb) za odkritje CVE-2023-27351 in anonimni raziskovalec za odkritje CVE-2023-27350.
PaperCut je tudi podelil priznanje varnostni raziskovalni skupini podjetja Huntress za upravljanje varnosti – vključno z Joejem Slowikom, Calebom Stewartom, Stuartom Ashenbrennerjem, Johnom Hammondom, Jasonom Phelpsom, Sharon Martin, Krisom Luzadrejem, Mattom Andersonom in Davom Kleinatlandom – za pomoč podjetju pri preiskavi napak. .
21. aprila je v Raziskovalci Huntress so razkrili, da so napadalci izkoriščali ranljivosti za prevzem ogroženih strežnikov z uporabo legitimnih programskih orodij za daljinsko upravljanje in vzdrževanje Atera in Syncro.
"Na podlagi predhodne analize se zdi, da sta oba legitimna kopija teh izdelkov in nimata nobene vgrajene ali dodane zlonamerne zmogljivosti," so zapisali raziskovalci Huntress.
Medtem ko so grožnje razdeljene na dva CVE, sta se obe "na koncu zanašali na obvod avtentikacije, ki vodi do nadaljnjega kompromisa kot skrbniški uporabnik znotraj aplikacijskega strežnika PaperCut", so zapisali raziskovalci.
Ko akter grožnje uporabi napako ali obe napaki, da zaobide avtentikacijo, lahko "nato izvede poljubno kodo na strežniku, ki se izvaja v kontekstu računa NT AUTHORITYSYSTEM," so zapisali raziskovalci.
Raziskovalci Huntressa so opazili tudi dokaze po izkoriščanju v obliki namestitve koristnega tovora Truebot, ki kažejo, da bi lahko izkoriščanje napak PaperCut predhodnik prihodnje dejavnosti izsiljevalske programske opreme Clop, ki temelji na prejšnji preiskavi podobne dejavnosti, pravi Huntress.
Varnostni raziskovalec Huntress Caleb Stewart je prav tako poustvaril izkoriščanje dokaza koncepta, da pokaže, kako CVE-2023-27350 bi lahko izkoristili, videoposnetek tega je vključen v objavo.
Kdo je v kibernetskem tveganju
PaperCut MF je programska oprema za upravljanje tiskanja, ki podpira različne naprave in upravlja konfiguracije tiskanja za tiskanje v omrežju podjetja. PaperCut NG je spremljevalna programska oprema za podrobno sledenje tiskalnih opravil in poročanje, namenjeno pomoči organizacijam pri zmanjševanju odpadnega papirja pri tiskanju.
Po podatkih PaperCuta ima sistem za upravljanje tiskanja PaperCut več kot sto milijonov uporabnikov v organizacijah po vsem svetu, da bi podjetjem pomagal zmanjšati količino odpadkov in olajšati tiskanje v celotnem podjetju. V Združenih državah so državna, lokalna in izobraževalna (SLED) okolja med tipičnimi organizacijami, ki uporabljajo programsko opremo.
Shodanova poizvedba za http.html:”papercut” http.html:”print” je pokazala približno 1,700 internetno izpostavljenih strežnikov PaperCut, pri čemer so izobraževalne stranke obsegale 450 teh rezultatov, glede na Horizon3.ai.
V svojih zaščitenih okoljih so raziskovalci Huntress poročali o opazovanju 1,014 skupnih gostiteljev sistema Windows z nameščenim PaperCut, pri čemer je 9087 teh gostiteljev razpršenih v 710 različnih organizacijah, ki so ranljive za izkoriščanje, so povedali.
Samo trije skupni gostitelji macOS, od katerih sta bila dva ranljiva, so imeli PaperCut nameščen v okoljih, ki so jih opazovali, so dodali raziskovalci in opozorili, da so poslali poročila o incidentih vsem prizadetim strankam in priporočili posodobitve.
Odkrivanje in ublažitev
PaperCut je v svoje svetovanje vključil seznam indikatorjev ogroženosti za svoje stranke in jim svetoval nadgradnjo ter zagotovil, da uporaba varnostnih popravkov »ne sme imeti negativnega vpliva«.
Če pa stranka ne more nadgraditi na najnovejšo različico - kar bi lahko veljalo zlasti za starejšo različico aplikacije - je podjetje priporočilo, da stranke zaklenejo omrežni dostop do prizadetega strežnika.
Da bi to naredili, lahko zaklenejo ves dohodni promet z zunanjih naslovov IP na vrata za spletno upravljanje (privzeto vrata 9191 in 9192) in blokirajo ves dohodni promet do portala za spletno upravljanje na požarnem zidu do strežnika.
Za ublažitev CVE-2023-27351 lahko stranke uporabijo tudi omejitve »Seznama dovoljenih« za strežnik, ki ga najdete pod Možnosti > Napredno > Varnost > Dovoljeni naslovi IP strežnika spletnega mesta, tako da ga nastavijo tako, da dovoljuje samo naslove IP preverjenih strežnikov spletnega mesta v svojih omrežjih. , poroča PaperCut.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
- Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
- vir: https://www.darkreading.com/remote-workforce/attackers-abuse-papercut-rce-flaws-to-take-over-enterprise-print-servers
- :ima
- : je
- :ne
- 1
- 100
- 7
- 710
- 8
- 9
- a
- Sposobna
- O meni
- zloraba
- dostop
- Po
- Račun
- čez
- aktivna
- dejavnost
- dodano
- naslovi
- upravno
- napredno
- svetovanje
- vplivajo
- vplivajo
- agencija
- AI
- algoritem
- vsi
- že
- Prav tako
- med
- an
- Analiza
- in
- in infrastrukturo
- anonimni
- kaj
- zdi
- uporaba
- Uporabi
- Uporaba
- približno
- april
- SE
- AS
- At
- napad
- Preverjanje pristnosti
- temeljijo
- BE
- počutje
- Block
- tako
- Bug
- hrošči
- vgrajeno
- by
- CAN
- Katalog
- razred
- Koda
- Podjetja
- podjetje
- Kompromis
- Ogroženo
- ozadje
- nadzor
- bi
- stranka
- Stranke, ki so
- prilagodite
- Cut
- Cybersecurity
- Nevarno
- Baze podatkov
- Dave
- dan
- privzeto
- izkazati
- podrobno
- Podrobnosti
- Razvoj
- razvoju
- naprava
- naprave
- odkrivanje
- izrazit
- do
- navzdol
- dinamično
- Izobraževanje
- omogoča
- Podjetje
- okolja
- dokazi
- izvršiti
- obstaja
- razložiti
- Izkoristite
- izkoriščanje
- Exploited
- izpostavljena
- zunanja
- olajšati
- Področja
- požarni zid
- Firm
- prva
- napaka
- napake
- sledi
- za
- obrazec
- je pokazala,
- iz
- funkcionalnost
- nadalje
- Prihodnost
- Imajo
- he
- pomoč
- pomoč
- Označite
- kljuke
- Gostitelji
- Kako
- HTML
- http
- HTTPS
- vpliv
- Izvajanje
- in
- nesreča
- vključeno
- Vključno
- kazalniki
- Infrastruktura
- pobuda
- nameščen
- interakcijo
- Internet
- v
- preiskava
- IP
- IP naslovi
- Vprašanja
- IT
- ITS
- JOE
- John
- jpg
- znano
- Zadnja
- Zadnji
- Interesenti
- legitimno
- Vzvod
- Seznam
- seznam
- lokalna
- MacOS
- je
- vzdrževanje
- upravljanje
- upravljanje
- marec
- Martin
- Maj ..
- milijonov
- Omiliti
- Ponedeljek
- več
- Poleg tega
- nacionalni
- negativna
- mreža
- omrežij
- Novo
- nst
- of
- on
- samo
- možnosti
- or
- organizacije
- originalno
- OS
- več
- Splošni
- Stran
- Papir
- zlasti
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Portal
- predhodnik
- prejšnja
- Tiskanje
- Izdelek
- Izdelki
- zaščiteni
- izsiljevalska
- ocena
- prejetih
- priporočeno
- povezane
- sprosti
- daljinsko
- poročilo
- Prijavljeno
- Poročanje
- Poročila
- zahteva
- Raziskave
- raziskovalec
- raziskovalci
- Omejitve
- povzroči
- Rezultati
- Razkrito
- Tveganje
- tek
- s
- Je dejal
- skripte
- varnost
- Strežniki
- Storitev
- nastavitev
- shouldnt
- Podoben
- spletna stran
- So
- Software
- po delih
- namaz
- začel
- Država
- Države
- naravnost
- podpora
- sumljiv
- sistem
- sistemi
- Bodite
- skupina
- tehnični
- Tehnična analiza
- kot
- da
- O
- njihove
- Njih
- Tukaj.
- te
- jih
- ta
- tisti,
- Grožnja
- grožnje
- 3
- do
- orodja
- Skupaj za plačilo
- Sledenje
- Prometa
- Trend
- Res
- tipičen
- Konec koncev
- pod
- Velika
- Združene države Amerike
- Nadgradnja
- posodobitve
- nadgradnja
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- različnih
- preverjeno
- različica
- Proti
- Video
- Ranljivosti
- ranljivost
- Ranljivi
- opozorilo
- Odpadki
- web
- Spletna aplikacija
- Spletna stran
- Dobro
- so bili
- ki
- okna
- z
- v
- po vsem svetu
- youtube
- zefirnet
- nič
- Zero dan