سیکیورٹی محققین نے اس بارے میں نئی تفصیلات کا انکشاف کیا ہے کہ کس طرح حملہ آور پیپر کٹ انٹرپرائز پرنٹ مینجمنٹ سسٹم میں دو خامیوں کا استحصال کر رہے ہیں - جسے دنیا بھر میں 100 ملین سے زیادہ صارفین استعمال کرتے ہیں - تصدیق کو نظرانداز کرنے اور ریموٹ کوڈ پر عمل درآمد کرنے کے لیے۔ خامیاں ایک بار پھر اس خطرے کو اجاگر کرتی ہیں کہ انٹرپرائز پرنٹرز اور متعلقہ سسٹمز، اکثر نظر انداز کیا جانے والا خطرہ، تنظیموں کی مجموعی سلامتی کو لاحق ہے۔
PaperCut کے ساتھ ساتھ سیکورٹی کمپنیوں کے محققین نے پہلے ہی خبردار کیا ہے کہ حملہ آور کمزوریوں کا فائدہ اٹھا رہے ہیں - جو PaperCut نے 8 مارچ کو اس کے PaperCut MF اور NG پروڈکٹس کے اپ ڈیٹ میں تیار کیا ہے - تاکہ سافٹ ویئر کے بغیر پیچ شدہ ورژنز کو حاصل کیا جا سکے۔ مزید یہ کہ سائبر سیکیورٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) اس کے معروف استحصال شدہ خطرات کے کیٹلاگ میں خامیوں کو شامل کیا۔ اپریل 21 پر.
زیرو ڈے انیشی ایٹو خامیوں کو اس طرح ٹریک کرتا ہے۔ ZDI-CAN-18987۔ اور ZDI-CAN-19226۔; ان کا بھی بطور سراغ لگایا جا رہا ہے۔ CVE-2023-27350 اور CVE-2023-27351بالترتیب، NIST کے قومی کمزوری ڈیٹا بیس کے ذریعے۔ PaperCut کے مطابق، خامیاں PaperCut MF اور NG ورژن 8.0 اور بعد کے تمام OS پلیٹ فارمز پر اثر انداز ہوتی ہیں۔
محققین Horizon3.ai نے CVE-2023-27350 کے لیے پروف آف کانسیپٹ ایکسپلائٹ کوڈ جاری کیا - پیر کو 9.8 کی CVSS کی درجہ بندی کے مقابلے میں اس کے ساتھی خامی کی 8.2 کی درجہ بندی کے ساتھ دو کیڑوں میں سے زیادہ خطرناک۔
CVE-2023-27350 کا غلط استعمال
Horizon3.ai ٹیم نے اس بات کا تکنیکی تجزیہ بھی شامل کیا کہ کس طرح حملہ آور "پرنٹرز کے لیے بلٹ ان 'اسکرپٹنگ' فنکشنلٹی" کو RCE کے استحصال کا غلط استعمال کر رہے ہیں۔ محققین نے وضاحت کی کہ سسٹم کا ڈیوائس اسکرپٹنگ پیج ایڈمنسٹریٹر کو جاوا اسکرپٹ پر مبنی اسکرپٹس کا استعمال کرتے ہوئے پورے انٹرپرائز میں پرنٹنگ کو اپنی مرضی کے مطابق بنانے کے لیے ہکس تیار کرنے کے قابل بناتا ہے اور پرنٹ کٹ سروس کے تناظر میں عمل میں لایا جاتا ہے، جو ونڈوز پر NT AUTHORITYSYSTEM کے طور پر چلتی ہے۔
اگرچہ PaperCut کی ویب ایپلیکیشن کی آخری درخواست پر مبنی ڈائنامک فارم فیلڈز کے استعمال نے سائٹ کے ساتھ بات چیت کرنے کے لیے ایک اسکرپٹ تیار کیا، لیکن وہ یہ ظاہر کرتے ہیں کہ وہ تصور کے ثبوت کے استحصال میں ایسا کرنے کے قابل کیسے تھے GitHub کے.
CVE-2023-27350 SetupCompleted کلاس میں موجود ہے اور زیرو ڈے انیشیٹو ویب سائٹ پر اس کی فہرست کے مطابق، غلط رسائی کنٹرول کے نتائج ہیں۔
فہرست کے مطابق، "ایک حملہ آور تصدیق کو نظرانداز کرنے اور سسٹم کے تناظر میں صوابدیدی کوڈ کو انجام دینے کے لیے اس خطرے کا فائدہ اٹھا سکتا ہے۔"
دریں اثنا، CVE-2023-27351، PaperCut NG کو متاثر کرنے والا ایک توثیق بائی پاس RCE بگ بھی، توثیقی الگورتھم کے غلط نفاذ کے نتیجے میں SecurityRequestFilter کلاس میں موجود ہے، زیرو ڈے انیشیٹو ویب سائٹ پر اس کی فہرست کے مطابق۔
پیپر کٹ کیڑے کو ننگا کرنا
Horizon3.ai کا تفصیلی تجزیہ 19 اپریل کو PaperCut کی طرف سے ایک انتباہ کے بعد ہے کہ PaperCut NG میں پائی جانے والی خامیاں فعال حملے کی زد میں تھیں، جس نے تنظیموں پر زور دیا کہ وہ مصنوعات کے تازہ ترین ورژن کو اپ ڈیٹ کریں۔
کمپنی کے ایک ایڈوائزری میں کہا کہ اسے 17 اپریل کو اپنے پیپر کٹ سرور پر مشتبہ سرگرمی کی ایک صارف کی طرف سے پہلی رپورٹ موصول ہوئی، حالانکہ بعد کے تجزیے سے معلوم ہوا کہ یہ سرگرمی 13 اپریل کو شروع ہو سکتی ہے۔
ٹرینڈ مائیکرو کے محققین نے اصل میں پیپر کٹ کو مسائل کی اطلاع دی، جس نے کریڈٹ کیا ہے۔ Piotr Bazydlo (@chudypb) CVE-2023-27351 دریافت کرنے کے لیے اور CVE-2023-27350 دریافت کرنے کے لیے ایک گمنام محقق۔
پیپر کٹ نے سیکیورٹی مینجمنٹ فرم ہنٹریس کی سیکیورٹی ریسرچ ٹیم کا بھی اعتراف کیا — جن میں جو سلووک، کالیب اسٹیورٹ، اسٹورٹ اشنبرنر، جان ہیمنڈ، جیسن فیلپس، شیرون مارٹن، کرس لوزادرے، میٹ اینڈرسن، اور ڈیو کلینٹ لینڈ شامل ہیں — کمپنی کی خامیوں کی تحقیقات میں مدد کرنے کے لیے۔ .
21 اپریل کو ، ہنٹریس کے محققین نے انکشاف کیا کہ حملہ آور کمزوریوں کا فائدہ اٹھا رہے تھے۔ دونوں جائز Atera اور Syncro ریموٹ مینجمنٹ اور مینٹیننس سافٹ ویئر ٹولز کا استعمال کرتے ہوئے سمجھوتہ شدہ سرورز پر قبضہ کرنا۔
ہنٹریس کے محققین نے لکھا، "ابتدائی تجزیے کی بنیاد پر، دونوں ہی ان مصنوعات کی جائز کاپیاں معلوم ہوتے ہیں اور ان میں کوئی بلٹ ان یا اضافی نقصان دہ صلاحیت نہیں ہے۔"
اگرچہ خطرات کو دو CVEs میں تقسیم کیا گیا ہے، وہ دونوں "بالآخر ایک توثیق بائی پاس پر انحصار کرتے ہیں جو PaperCut ایپلیکیشن سرور کے اندر ایک انتظامی صارف کے طور پر مزید سمجھوتہ کا باعث بنتا ہے،" محققین نے لکھا۔
ایک بار جب دھمکی دینے والا اداکار تصدیق کو نظرانداز کرنے کے لیے کسی خامی یا دونوں خامیوں کا استعمال کرتا ہے، تو وہ "پھر NT AUTHORITYSYSTEM اکاؤنٹ کے تناظر میں چلنے والے سرور پر من مانی کوڈ پر عمل درآمد کر سکتا ہے،" محققین نے لکھا۔
ہنٹریس کے محققین نے ٹروبوٹ پے لوڈ انسٹالیشن کی شکل میں پوسٹ ایکسپلائیٹیشن شواہد کا بھی مشاہدہ کیا جو تجویز کرتے ہیں کہ پیپر کٹ کی خامیوں کا استحصال اسی طرح کی سرگرمی کی سابقہ تحقیقات کی بنیاد پر مستقبل کی Clop ransomware کی سرگرمی کا پیش خیمہ ہو سکتا ہے۔
ہنٹریس سیکیورٹی کے محقق کالیب سٹیورٹ نے بھی یہ ظاہر کرنے کے لیے ایک پروف آف تصور استحصال کو دوبارہ بنایا۔ CVE-2023-27350 کا استحصال کیا جا سکتا ہے، جس کی ایک ویڈیو پوسٹ میں شامل ہے.
سائبر خطرے میں کون ہے۔
PaperCut MF مختلف آلات کو سپورٹ کرنے اور انٹرپرائز نیٹ ورک پر پرنٹنگ کے لیے پرنٹ کنفیگریشنز کو منظم کرنے کے لیے پرنٹ مینجمنٹ سوفٹ ویئر ہے۔ PaperCut NG تفصیلی پرنٹ جاب ٹریکنگ اور رپورٹنگ کے لیے ایک ساتھی سافٹ ویئر ہے جس کا مقصد تنظیموں کو کاغذ کے فضلے کو پرنٹ کرنے میں مدد کرنا ہے۔
PaperCut کے مطابق، PaperCut پرنٹ مینجمنٹ سسٹم کے دنیا بھر کی تنظیموں میں سو ملین سے زیادہ صارفین ہیں جو کمپنیوں کو فضلہ کو کم سے کم کرنے اور انٹرپرائز میں پرنٹنگ کی سہولت فراہم کرنے میں مدد کرتے ہیں۔ ریاستہائے متحدہ میں، ریاستی، مقامی، اور تعلیم (SLED) ماحول سافٹ ویئر استعمال کرنے والی عام تنظیموں میں شامل ہیں۔
Horizon1,700.ai کے مطابق، http.html:"papercut" http.html:"print" کے لیے شوڈان کے استفسار نے تقریباً 450 انٹرنیٹ سے متعلق پیپر کٹ سرورز دکھائے، جن میں تعلیمی صارفین کے 3 نتائج شامل تھے۔
انہوں نے کہا کہ اس کے محفوظ ماحول میں، ہنٹریس کے محققین نے PaperCut نصب کے ساتھ 1,014 کل ونڈوز میزبانوں کا مشاہدہ کیا، ان میں سے 9087 میزبان 710 مختلف تنظیموں میں پھیلے ہوئے ہیں جو استحصال کا شکار ہیں۔
صرف تین کل macOS میزبان، جن میں سے دو کمزور تھے، نے ان ماحول میں PaperCut انسٹال کیا تھا جس کا انھوں نے مشاہدہ کیا، محققین نے مزید کہا کہ انھوں نے تمام متاثرہ صارفین کو واقعے کی رپورٹیں بھیجی ہیں اور اپ ڈیٹس کی سفارش کی ہے۔
کھوج اور تخفیف
PaperCut نے اپنی ایڈوائزری میں اپنے صارفین کے لیے سمجھوتے کے اشارے کی فہرست شامل کی اور انہیں اپ گریڈ کرنے کا مشورہ دیا، اس بات کی یقین دہانی کراتے ہوئے کہ حفاظتی اصلاحات کو لاگو کرنے سے "کوئی منفی اثر نہیں پڑے گا"۔
تاہم، اگر کوئی صارف تازہ ترین ورژن میں اپ گریڈ نہیں کر سکتا - جو خاص طور پر پرانے ایپلیکیشن ورژن کے ساتھ درست ہو سکتا ہے - تو کمپنی نے سفارش کی کہ صارفین متاثرہ سرور تک نیٹ ورک کی رسائی کو بند کر دیں۔
ایسا کرنے کے لیے، وہ بیرونی IPs سے ویب مینجمنٹ پورٹ (پورٹ 9191 اور 9192 بذریعہ ڈیفالٹ) تک تمام ان باؤنڈ ٹریفک کو لاک کر سکتے ہیں اور سرور پر فائر وال پر ویب مینجمنٹ پورٹل کی طرف آنے والی تمام ٹریفک کو بلاک کر سکتے ہیں۔
CVE-2023-27351 کو کم کرنے کے لیے، صارفین آپشنز> ایڈوانسڈ> سیکیورٹی> اجازت یافتہ سائٹ سرور کے آئی پی ایڈریسز کو اپنے نیٹ ورکس پر صرف تصدیق شدہ سائٹ سرورز کے آئی پی ایڈریسز کی اجازت دینے کے لیے ترتیب دے کر "Allow list" کی پابندیاں بھی لگا سکتے ہیں۔ ، پیپر کٹ کے مطابق۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/remote-workforce/attackers-abuse-papercut-rce-flaws-to-take-over-enterprise-print-servers
- : ہے
- : ہے
- : نہیں
- 1
- 100
- 7
- 710
- 8
- 9
- a
- قابلیت
- ہمارے بارے میں
- بدسلوکی
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- کے پار
- فعال
- سرگرمی
- شامل کیا
- پتے
- انتظامی
- اعلی درجے کی
- مشاورتی
- پر اثر انداز
- کو متاثر
- ایجنسی
- AI
- یلگورتم
- تمام
- پہلے ہی
- بھی
- کے درمیان
- an
- تجزیہ
- اور
- اور بنیادی ڈھانچہ
- گمنام
- کوئی بھی
- ظاہر
- درخواست
- کا اطلاق کریں
- درخواست دینا
- تقریبا
- اپریل
- کیا
- AS
- At
- حملہ
- کی توثیق
- کی بنیاد پر
- BE
- کیا جا رہا ہے
- بلاک
- دونوں
- بگ کی اطلاع دیں
- کیڑوں
- تعمیر میں
- by
- کر سکتے ہیں
- کیٹلوگ
- طبقے
- کوڈ
- کمپنیاں
- کمپنی کے
- سمجھوتہ
- سمجھوتہ کیا
- سیاق و سباق
- کنٹرول
- سکتا ہے
- گاہک
- گاہکوں
- اپنی مرضی کے مطابق
- کٹ
- سائبر سیکیورٹی
- خطرناک
- ڈیٹا بیس
- ڈیو
- دن
- پہلے سے طے شدہ
- مظاہرہ
- تفصیلی
- تفصیلات
- ترقی
- ترقی
- آلہ
- کے الات
- دریافت
- مختلف
- do
- نیچے
- متحرک
- تعلیم
- کے قابل بناتا ہے
- انٹرپرائز
- ماحول
- ثبوت
- عملدرآمد
- موجود ہے
- وضاحت کی
- دھماکہ
- استحصال
- استحصال کیا۔
- ظاہر
- بیرونی
- سہولت
- قطعات
- فائروال
- فرم
- پہلا
- غلطی
- خامیوں
- مندرجہ ذیل ہے
- کے لئے
- فارم
- ملا
- سے
- فعالیت
- مزید
- مستقبل
- ہے
- he
- مدد
- مدد
- نمایاں کریں
- ہکس
- میزبان
- کس طرح
- HTML
- HTTP
- HTTPS
- اثر
- نفاذ
- in
- واقعہ
- شامل
- سمیت
- انڈیکیٹر
- انفراسٹرکچر
- انیشی ایٹو
- نصب
- بات چیت
- انٹرنیٹ
- میں
- تحقیقات
- IP
- آئی پی پتے
- مسائل
- IT
- میں
- JOE
- جان
- فوٹو
- جانا جاتا ہے
- آخری
- تازہ ترین
- لیڈز
- جائز
- لیوریج
- لسٹ
- لسٹنگ
- مقامی
- MacOS کے
- بنا
- دیکھ بھال
- انتظام
- انتظام
- مارچ
- مارٹن
- مئی..
- دس لاکھ
- تخفیف کریں
- پیر
- زیادہ
- اس کے علاوہ
- قومی
- منفی
- نیٹ ورک
- نیٹ ورک
- نئی
- نیسٹ
- of
- on
- صرف
- آپشنز کے بھی
- or
- تنظیمیں
- اصل میں
- OS
- پر
- مجموعی طور پر
- صفحہ
- کاغذ.
- خاص طور پر
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پورٹل
- ابتدائی
- پچھلا
- پرنٹ
- مصنوعات
- حاصل
- محفوظ
- ransomware کے
- درجہ بندی
- موصول
- سفارش کی
- متعلقہ
- جاری
- ریموٹ
- رپورٹ
- اطلاع دی
- رپورٹ
- رپورٹیں
- درخواست
- تحقیق
- محقق
- محققین
- پابندی
- نتیجہ
- نتائج کی نمائش
- انکشاف
- رسک
- چل رہا ہے
- s
- کہا
- سکرپٹ
- سیکورٹی
- سرورز
- سروس
- قائم کرنے
- ہونا چاہئے
- اسی طرح
- سائٹ
- So
- سافٹ ویئر کی
- تقسیم
- پھیلانے
- شروع
- حالت
- امریکہ
- براہ راست
- حمایت
- مشکوک
- کے نظام
- سسٹمز
- لے لو
- ٹیم
- ٹیکنیکل
- تکنیکی تجزیہ
- سے
- کہ
- ۔
- ان
- ان
- وہاں.
- یہ
- وہ
- اس
- ان
- خطرہ
- خطرات
- تین
- کرنے کے لئے
- اوزار
- کل
- ٹریکنگ
- ٹریفک
- رجحان
- سچ
- ٹھیٹھ
- آخر میں
- کے تحت
- متحدہ
- ریاست ہائے متحدہ امریکہ
- اپ ڈیٹ کریں
- تازہ ترین معلومات
- اپ گریڈ
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- مختلف
- تصدیق
- ورژن
- بنام
- ویڈیو
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- انتباہ
- فضلے کے
- ویب
- ویب ایپلی کیشن
- ویب سائٹ
- اچھا ہے
- تھے
- جس
- کھڑکیاں
- ساتھ
- کے اندر
- دنیا بھر
- یو ٹیوب پر
- زیفیرنیٹ
- صفر
- زیرو ڈے