PaperCut高危漏洞可使未修复服务器受RCE攻击
编译:代码卫士
该漏洞的CVSS评分8.4,影响 PaperCut NG/MF 22.1.3 之前的版本,是路径遍历和文件上传漏洞的组合,可使威胁行动者在执行无需用户交互的复杂度较低攻击后,在受陷系统上读取、删除和上传任意文件。
虽然该漏洞仅影响切换外部设备继承设置的非默认配置中的服务器,但 Horizon3 在上周五发布的一份报告中提到,多数 Windows PaperCut 服务器启用了该配置。
Horizon3 提到,“PaperCut 的某些版本默认启用该设置,如 PaperCut NG 商用版本或PaperCut MF。从Horizon3 从现实环境中收集的样本数据来看,我们预测大多数 PaperCut 版本在开启了外部设备集成设置的 Windows 上运行。”
可在 Windows 上用如下命令查看服务器是否易受 CVE-2023-39143 攻击(响应如是200,则表明服务器需要打补丁):
curl -w "%{http_code}" -k --path-as-is https://<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png无法立即安装安全更新的管理员,则可仅增加需要访问白名单的IP地址。
Shodan 搜索发现,目前约1800台 PaperCut 服务器被暴露在互联网,不过并非所有易受该漏洞利用攻击。
今年早些时候,多个勒索团伙组合利用严重的未认证RCE漏洞 (CVE-2023-27350) 和高危信息泄露漏洞 (CVE-2023-27351) 攻击 PaperCut 服务器。PaperCut 公司在4月19日披露称,这些漏洞遭活跃利用,提醒管理员和安全团队立即更新服务器。几天后,Horizon3 安全研究员发布 RCE PoC 利用,导致其它威胁行动者有机会攻击易受攻击的服务器。
微软认为 PaperCut 服务器攻击与 Clop 和 LockBit 勒索团伙有关,后者利用该访问权限从受陷系统中窃取企业数据。在这些数据盗取攻击中,该勒索团伙利用保存所有通过 PaperCut 打印服务器发送文档的 “Print Archiving” 特性。两周后,微软披露称伊朗国家黑客组织 Muddywater 和 APT35 也发动了攻击。CISA 在4月21日将该漏洞列入已遭活跃利用漏洞清单,要求美国所有联邦机构在2023年5月12日之前保护服务器的安全。
https://www.bleepingcomputer.com/news/security/new-papercut-critical-bug-exposes-unpatched-servers-to-rce-attacks/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。