打印管理软件制造商 PaperCut 表示,攻击者正在利用一个严重的安全漏洞来访问客户网络上未打补丁的服务器。
PaperCut 提供两种打印管理产品,PaperCut NG 和 PaperCut MF,供地方政府、大型企业、医疗保健和教育机构使用。 PaperCut 的网站称其拥有来自全球 70,000 多个组织的 1 亿多用户。
在上周的一份公告中,PaperCut 表示,它在 3 月初修补的一个严重漏洞正受到针对尚未安装安全更新的机器的主动攻击。该漏洞被跟踪为CVE-2023-27350 ,在漏洞严重性方面得分为 9.8(满分 10 分),因为它可能允许未经身份验证的攻击者在不需要凭据的情况下在服务器上远程执行恶意代码。
PaperCut 还对其软件中的一个单独但类似的漏洞发出了警报,该漏洞被跟踪为CVE-2023-27351 ,漏洞严重等级为 8.2(满分 10)。该漏洞允许黑客提取存储在客户 PaperCut MF 和 NG 中的用户信息服务器,包括与帐户关联的用户名、全名、电子邮件地址、部门信息和支付卡号。
“这两个漏洞都已在 PaperCut MF 和 PaperCut NG 版本 20.1.7、21.2.11 和 22.0.9 及更高版本中得到修复,”该公司表示。 “我们强烈建议升级到其中一个包含修复程序的版本。
自从 PaperCut 确认了野外攻击后,网络安全公司 Huntress 表示,它观察到黑客利用这些漏洞将合法的远程管理软件——Atera 和 Syncro——植入后门未打补丁的服务器。 Huntress 表示,它已经检测到大约 1,800 台暴露在互联网上的 PaperCut 服务器。
Huntress 表示,攻击者使用远程工具植入名为 Truebot 的恶意软件, 俄罗斯支持的 Clop 团伙在部署勒索软件之前经常使用这种恶意软件。据信,Clop 还使用 TrueBot 作为其针对 Fortra 的 GoAnywhere 文件传输工具客户的大规模黑客攻击的一部分。
“虽然当前利用 PaperCut 软件的活动的最终目标尚不清楚,但这些与已知勒索软件实体的链接(尽管有些间接)令人担忧,”Huntress 写道。 “通过 PaperCut 利用获得的访问权限可能会被用作立足点,导致受害者网络内的后续行动,并最终部署勒索软件。”
Huntress 表示,它创建了一个未发布的概念验证漏洞来评估这两个漏洞造成的威胁。周一,自动化渗透测试公司 Horizon3 的研究人员针对 9.8 级漏洞 发布了自己的概念验证利用代码。
CISA 周五将最严重的 CVE-2023-27350 漏洞添加到其被积极利用的漏洞列表中,命令联邦机构在 5 月 12 日之前的三周内保护其系统免受持续利用。
PaperCut 称黑客正在利用未打补丁的服务器中的“关键”安全漏洞by Carly Page最初发表于TechCrunch
原文: https://techcrunch.com/2023/04/25/papercut-hackers-critical-flaw-clop-ransomware/