FBI ve CISA, BL00DY fidye yazılımı çetesinin şimdi ağlara ilk erişim elde etmek için aktif olarak bir kağıt kütlesi uzaktan kumanda yürütme kırılganlığından yararlandığı konusunda ortak bir danışma yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, tehdit oyuncusunun saldırılarını, kusurun önemli bir kamuoyuna maruz kalan eğitim sektörüne odakladığını belirtiyor.
Güvenlik Danışmanlığı, "Mayıs 2023'ün başlarında, FBI bilgilerine göre, BL00DY fidye yazılımı çetesi, CVE-2023-27350'ye karşı savunmasız internete maruz kaldığı eğitim tesisleri alt sektöründe kurban ağlarına erişim sağladı."
"Nihayetinde, bu işlemlerin bazıları mağdur sistemlerinin veri açığa çıkmasına ve şifrelemesine yol açtı."
Papercut kusuru, CVE-2023-27350 olarak izlenir ve 100'den fazla ülkede kabaca 70.000 kuruluş tarafından kullanılan baskı yönetimi yazılımı olan Papercut MF ve Papercut NG'yi etkileyen kritik bir uzaklıklı uzaktan kumanda yürütme (RCE) zayıflığıdır.
Güvenlik açığı, en az 18 Nisan 2023'ten bu yana, Mart ayında kamuya açıklanmasından yaklaşık bir ay sonra aktif sömürü altında.
Güvenlik açığı Papercut Ng ve MF sürümlerinde 20.1.7, 21.2.11 ve 22.0.9'da sabitlenirken, kuruluşlar saldırılara maruz kalmaya izin vererek güncellemeyi yüklemek için yavaş olmuştur.
Microsoft ayrıca bu haftanın başlarında, devlet destekli 'Muddywater' da dahil olmak üzere İranlı hack gruplarının, kullanıcı kimlik doğrulamasını atlamak ve hedeflerinde uzaktan yürütme sağlamak için CVE-2023-27350'nin sömürüsüne katıldığını bildirdi.
Ne yazık ki, bazıları daha az tespit edilen kağıt kesimi için kavram kanıtı (POC) istismarlarının mevcudiyeti, kuruluşların riskini daha da artırır.
CISA, eğitim tesisleri alt sektörünün internete maruz kalan kağıtkut sunucularının yaklaşık% 68'inden sorumlu olduğunu söyledi. Bununla birlikte, eşleştirilmemiş ve dolayısıyla savunmasız uç noktaların sayısı hala bilinmemektedir.
Son zamanlarda gözlemlenen BL00DY fidye yazılımı saldırıları, sektördeki bazı hedeflere karşı başarılı oldu ve CVE-2023-27350'yi kullanıcı kimlik doğrulamasını atlamak ve sunucuyu yönetici olarak erişmek için kullandı.
Bu erişim daha sonra cihaza uzaktan erişim elde etmek ve ağdan yanal olarak yayılmak için bir lansman rampası olarak kullanmak için aynı yüksek ayrıcalıklara sahip yeni 'cmd.exe' ve 'powerShell.exe' işlemlerini ortaya çıkarmak için kullanıldı.
Bu süre zarfında, fidye yazılımı aktörleri veriler çalıyor ve hedef sistemleri şifreleyerek, çalışan bir şifreleme karşılığında ödeme talep eden notları ve çalınan verileri yayınlamama veya satmama sözü bırakıyor.
Mayıs 2022'de başlatılan BL00DY Ransomware işlemi, kendi yazılımlarını geliştirmek yerine sızdırılmış Lockbit kaynak koduna dayanan bir şifreleme kullanır.
Ayrıca Babuk [Virustotal] ve Conti [Virustotal] 'dan sızdırılmış kaynak koduna dayanan şifrelemeler kullanılarak görülmüştür.
CISA'nın bülteni, kuruluşların bu saldırıları durdurmasına yardımcı olmak için izlenmesi gereken hedefli sunucularda, ağ trafik imzaları ve çocuk süreçlerinde bırakılan sömürü belirtileri hakkında tüm ayrıntıları sunar.
Bununla birlikte, önerilen eylem, tehdit aktörleri tarafından kullanılan tüm güvenlik boşluklarını ele alan Papercut MF ve NG sunucularına mevcut güvenlik güncellemelerini uygulamaktır.
Mevcut tespitleri atlayan yeni Papercut RCE istismar
Bilgisayar korsanları TBK DVR cihazlarında 5 yaşındaki 5 yaşındaki açılmamış kusurdan istismar
Microsoft: PaperCut Server Hacks'in arkasında Clop ve Lockbit Fidye Yazılımı
VMware, Vrealize Günlük Analizi Aracı'ndaki kritik güvenlik hatalarını düzeltir
Bilgisayar korsanları aktif olarak kritik RCE hatasını kağıtkut sunucularında kullanır
Kaynak: Bleeping Computer