🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng nghiêm trọng mới trong PaperCut khiến các máy chủ chưa được vá có nguy cơ bị tấn công RCE

07/08/2023

PaperCut gần đây đã khắc phục một lỗ hổng bảo mật nghiêm trọng trong phần mềm quản lý in NG/MF cho phép những kẻ tấn công không cần xác thực thực thi mã từ xa trên các máy chủ Windows chưa được vá.

Được định danh là CVE-2023-3914, lỗ hổng này bắt nguồn từ chuỗi hai lỗ hổng path traversal được các nhà nghiên cứu bảo mật Horizon3 phát hiện, cho phép các tác nhân đe dọa đọc, xóa và tải lên các tệp tùy ý trên hệ thống bị xâm nhập mà không yêu cầu tương tác từ người dùng.

Lỗ hổng chỉ ảnh hưởng đến các máy chủ đang bật cấu hình cài đặt tích hợp thiết bị bên ngoài. Tuy nhiên, Horizon3 cho biết rằng hầu hết các máy chủ Windows PaperCut đều đã bật tính năng này.

"Cài đặt này được bật theo mặc định trong một số phiên bản nhất định của PaperCut, như phiên bản PaperCut NG Commercial hoặc PaperCut MF," Horizon3 cho biết.

"Dựa trên dữ liệu mẫu mà chúng tôi đã thu thập tại Horizon3 từ các môi trường trong thực tế, chúng tôi ước tính rằng phần lớn các bản cài đặt PaperCut đang chạy trên Windows với cài đặt tích hợp thiết bị bên ngoài được bật."

Bạn có thể sử dụng lệnh sau để kiểm tra xem máy chủ có dễ bị tấn công bởi lỗ hổng CVE-2023-39143 hay không (phản hồi 200 cho biết máy chủ bị ảnh hưởng và cần vá lỗi):

curl -w "%{http_code}" -k --path-as-is "https://:/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png".

Để giảm thiểu các nguy cơ bị tấn công, người dùng nên kiểm tra và cập nhật bản vá cho máy chủ PaperCut nếu bị ảnh hưởng.

Các quản trị viên hiện chưa thể cài đặt ngay các bản cập nhật bảo mật có thể thêm các địa chỉ IP cần quyền truy cập vào danh sách cho phép theo hướng dẫn này.

Kết quả tìm kiếm của Shodan cho thấy có khoảng 1.800 máy chủ PaperCut hiện đang được đặt trực tuyến, mặc dù không phải tất cả đều dễ bị tấn công CVE-2023-39143.

Từng bị nhắm mục tiêu bởi các nhóm tấn công

Các máy chủ PaperCut đã từng bị một số nhóm ransomware nhắm mục tiêu vào đầu năm nay bằng cách khai thác một lỗ hổng RCE nghiêm trọng khác (CVE-2023-27350), có thể khai thác mà không cần xác thực, và một lỗ hổng tiết lộ thông tin có độ nghiêm trọng mức cao (CVE-2023–27351).

Công ty đã tiết lộ vào ngày 19 tháng 4 rằng những lỗ hổng này đang bị khai thác trong các cuộc tấn công, kêu gọi các quản trị viên và nhóm bảo mật khẩn trương nâng cấp máy chủ của họ.

Vài ngày sau tiết lộ ban đầu, các nhà nghiên cứu Horizon3 đã phát hành một mã khai thác (PoC) cho lỗ hổng RCE, tạo cơ hội cho các tác nhân đe dọa nhắm mục tiêu vào các máy chủ dễ bị tấn công.

Microsoft đã quy kết các cuộc tấn công nhắm vào máy chủ PaperCut cho các nhóm ransomware Clop và LockBit, những kẻ đã sử dụng quyền truy cập có được để đánh cắp dữ liệu của công ty từ các hệ thống bị xâm nhập.

Trong các cuộc tấn công đánh cắp dữ liệu này, phần mềm ransomware đã lợi dụng tính năng ‘Print Archiving’ để lưu tất cả các tài liệu được gửi qua máy chủ in PaperCut.

Gần hai tuần sau đó, Microsoft cho biết các nhóm hack do nhà nước Iran hậu thuẫn được theo dõi với tên Muddywater và APT35 cũng tham gia vào cuộc tấn công đang diễn ra.

CISA đã thêm lỗ hổng RCE CVE-2023-27350 vào danh sách các lỗ hổng bị khai thác trong thực tế vào ngày 21 tháng 4.

Nguồn: bleepingcomputer.com.

scrolltop