Saldırganlar, sunucuları devralmak için Atera uzaktan yönetim yazılımını yüklemek için yaygın olarak kullanılan kağıt kesimi MF/ng baskı yönetim yazılımındaki ciddi güvenlik açıklarından yararlanıyor.
Yazılımın geliştiricisi, dünya çapında 70.000'den fazla şirketten 100 milyondan fazla kullanıcı tarafından kullanıldığını iddia ediyor.
İki güvenlik kusuru (CVE-2023-27350 ve CVE-2023-27351 olarak izlenir), uzaktan saldırganların kimlik doğrulamasını atlamasına ve kullanıcı etkileşimi gerektirmeyen düşük kompleks saldırılarda sistem ayrıcalıklarıyla tehlikeye girmesine izin verir.
Şirket, "Bu güvenlik açıklarının her ikisi de Papercut MF ve Papercut ng sürümlerinde 20.1.7, 21.2.11 ve 22.0.9 ve sonraki sürümlerde sabitlendi. Düzeltmeyi içeren bu sürümlerden birine yükseltilmenizi şiddetle tavsiye ediyoruz."
Bugün erken saatlerde, saldırı yüzey değerlendirme firması Horizon3, ayrıntılı teknik bilgiler ve CVE-2023-27350 Konsept Kanıtı (POC) içeren bir blog yazısı yayınladı ve saldırganların kimlik doğrulamasını atlamak ve eşleştirilmemiş kağıtkut sunucularında kod yürütmek için kullanabileceği.
Horizon3, RCE istismarının "yerleşik" komut dosyası "yazıcılar için işlevselliği kötüye kullanarak" uzaktan kod yürütülmesine yardımcı olduğunu söylüyor.
Huntress ayrıca, bu devam eden saldırıların sağladığı tehdidi sergilemek için bir POC istismarı yarattı, ancak henüz çevrimiçi olarak yayınlanmadı (aşağıda bir video demosu mevcuttur).
Patched Papercut sunucuları zaten vahşi doğada hedeflenirken, ek tehdit aktörleri de Horizon3'ün daha fazla saldırıda istismar kodunu kullanacaktır.
Neyse ki, bir Shodan araması, saldırganların sadece 1.700 internete maruz kalan kağıtkut sunucusunu hedefleyebileceğini gösteriyor.
CISA, CVVE-2023-27350 kusurunu Cuma günü aktif olarak sömürülen güvenlik açıkları listesine ekleyerek, federal ajanslara 12 Mayıs 2023'e kadar üç hafta içinde sistemlerini devam eden sömürüye karşı güvence altına almalarını emretti.
Huntress, yöneticilerin derhal yamalayamamasını tavsiye eder Papercut sunucuları uzaktan sömürüyü önlemek için önlemler almalıdır.
Bu, bir kenar cihazındaki harici IP adreslerinden web yönetimi bağlantı noktasına (varsayılan bağlantı noktası 9191) tüm trafiği engellemenin yanı sıra, yalnızca sunucuya yönetim erişimini kısıtlamak ve potansiyel ağa önlemek için tüm trafiği sunucunun güvenlik duvarındaki aynı bağlantı noktasına engellemeyi içerir. ihlaller.
İlk saldırıların gözlemlendiği 16 Nisan'dan bu yana bu devam eden saldırılara bağlı olarak sömürü sonrası etkinlikleri analiz eden Huntress güvenlik araştırmacıları, tehdit aktörleri Atera ve Syncro uzaktan yönetim yazılımı yükleyen PowerShell komutlarını yürütmek için kusuru kullanıyor.
Bu saldırılardan önce, WindowserviceCenter.com alan adının 12 Nisan'da kaydedilmesi, Silence Siber Salın Grubuna bağlı bir kötü amaçlı yazılım olan ve Aralık 2022'den bu yana klop fidye yazılımı yüklerini dağıtmak için kullanılan Truebot Downloader'ı da sunmak için kullanıldı.
Huntress Labs, "Papercut'un yazılımından yararlanan mevcut etkinliğin nihai hedefi bilinmemekle birlikte, bilinen bir fidye yazılımı varlığına bu bağlantılar (biraz koşullu da olsa) söz konusudur." Dedi.
"Potansiyel olarak, Papercut Sömürü yoluyla kazanılan erişim, kurban ağında takip hareketine ve nihayetinde fidye yazılımı dağıtımına yol açan bir taban olarak kullanılabilir."
Bilgisayar korsanları aktif olarak kritik RCE hatasını kağıtkut sunucularında kullanır
CISA, Govt Ajanslarına 1 Mayıs'a kadar iPhone'ları, Mac'leri güncellemeyi sipariş ediyor
Alphv Ransomware, ilk erişim için veritas backup exec hatalarını istismar ediyor
CISA, kritik VMware RCE Kusurunu Saldırılarda Sömürülen uyarıyor
TP-Link Archer Wifi Yönlendirici Kususu Mirai kötü amaçlı yazılım tarafından kullanıldı
Kaynak: Bleeping Computer