سنكون صادقين ، ونعترف بأننا لم نسمع عن برنامج إدارة الطابعة PaperCut حتى هذا الأسبوع.
في الواقع ، كانت المرة الأولى التي سمعنا فيها عن الاسم في سياق جرائم الإنترنت وهجمات البرامج الضارة ، وافترضنا بسذاجة أن "PaperCut" هو ما نود أن نطلق عليه اسم BWAIN.
BWAIN هو مصطلحنا الساخر لأي خطأ يحمل اسمًا مثيرًا للإعجاب (وذكيًا في وسائل الإعلام) ، مثل هارتبليد or إرتجاج دماغي مرة أخرى في اليوم ، واعتقدنا أن هذا يشير إلى ثغرة أمنية أو استغلال من نوع ما.
لذلك ، سوف نعتذر لشركة PaperCut - يُقصد بالاسم أن يكون استعارة لتقليص استخدامك للورق من خلال مساعدتك في إدارة موارد الطباعة في عملك والتحكم فيها وفرض رسوم عليها بشكل عادل.
سنشير كذلك إلى أن PaperCut iself لا تنشر تنبيه الثغرات الأمنية هذا لأسباب تتعلق بالعلاقات العامة ، لأن السعي النشط للتغطية الإعلامية للأخطاء في منتجاتك الخاصة ليس شيئًا عادة ما تبذل الشركات قصارى جهدها للقيام به.
لكن في هذه الحالة نرفع القبعات إلى PaperCut ، لأن الشركة تحاول حقًا التأكد من أن جميع عملائها يعرفون شيئًا عن أهمية اثنين من نقاط الضعف في منتجاتها التي تم تصحيحها في الشهر الماضي ، لدرجة أنها وضعت درعًا مقلمًا باللون الأخضر في أعلى صفحة الويب الرئيسية التي تقول ، "رسالة أمان عاجلة لجميع عملاء NG / MF."
لقد رأينا الشركات التي اعترفت بوجود ثغرات أمنية غير مسبوقة وانتهاكات البيانات بطريقة أقل وضوحًا من هذا ، وهذا هو السبب في أننا نقول "عمل جيد" لفريق Papercut لما قد تثني عليه مصطلحات الأمن السيبراني مع orotund عبارة وفرة من الحذر.
مصححة ، لكن ليست بالضرورة محدثة
المشكلة ، على ما يبدو ، هي زوج من الحشرات مدبلج CVE-2023-27350 و CVE-2023-27351 التي تم تصحيحها بواسطة PaperCut في نهاية مارس 2023.
تم وصف الخطأ الأول بواسطة PaperCut على النحو التالي:
تسمح [الثغرة الأمنية CVE-2023-27350] للمهاجم غير المصادق بالحصول على تنفيذ التعليمات البرمجية عن بُعد (RCE) على خادم تطبيق PaperCut. يمكن القيام بذلك عن بعد ودون الحاجة إلى تسجيل الدخول.
لذلك ، حتى إذا كان خادم تطبيق PaperCut الخاص بك لا يمكن الوصول إليه مباشرة عبر الإنترنت ، فإن المهاجم الذي كان لديه بالفعل موطئ قدم أساسي في شبكتك ، على سبيل المثال كمستخدم ضيف على جهاز كمبيوتر محمول مصاب ، يمكن أن يستغل هذا الخطأ ل محورالطرق أو تتحرك أفقيا (وهي كلمات اصطلاحية رائعة لـ "قم بالقفزة") ، إلى موقع أكثر امتيازًا وقوة داخل عملك.
لا يسلم الخطأ الثاني صلاحيات تنفيذ التعليمات البرمجية عن بُعد ، ولكنه يسمح للمهاجمين باستخراج معلومات التعريف الشخصية التي يمكن أن تكون مفيدة لهجمات الهندسة الاجتماعية اللاحقة ضد كل من شركتك ككل وموظفيك كأفراد:
تسمح [الثغرة الأمنية CVE-2023-27351] للمهاجم غير المصدق بسحب معلومات حول المستخدم المخزنة في PaperCut MF أو NG - بما في ذلك أسماء المستخدمين والأسماء الكاملة وعناوين البريد الإلكتروني ومعلومات المكتب / القسم وأي أرقام بطاقات مرتبطة بالمستخدم. يمكن للمهاجم أيضًا استرداد كلمات المرور المجزأة للمستخدمين الداخليين الذين أنشأهم PaperCut فقط [...]. يمكن القيام بذلك عن بعد ودون الحاجة إلى تسجيل الدخول.
على الرغم من أن التصحيحات قد توقفت منذ ما يقرب من شهر بالفعل ، إلا أنه يبدو أن جميع العملاء لم يطبقوا هذه التصحيحات ، ويبدو أن المحتالين عبر الإنترنت قد بدأوا في استخدام أول هذه الأخطاء في هجمات حقيقية.
يقول PaperCut أنه تم تنبيهه لأول مرة بهجوم ضد خادم غير مصحح في 2023-04-17T17: 30Z ، وقد عمل الآن من خلال سجلاته ويقترح أن أول هجوم معروف حتى الآن حدث قبل أربعة أيام ، في 2023-04- 13T15: 29Z.
بمعنى آخر ، إذا قمت بالتصحيح قبل 2023-04-13 (الخميس قبل الأخير وقت كتابة هذا التقرير) ، فمن المؤكد أنك كنت متقدمًا على المجرمين ، لكن إذا لم تكن قد قمت بالتصحيح بعد ، فأنت بحاجة إلى ذلك.
يلاحظ PaperCut أنه يحاول جاهدًا "لتجميع قائمة بخوادم PaperCut MF / NG غير المصححة التي تحتوي على منافذ مفتوحة على الإنترنت العام"، ثم بذل قصارى جهده لمحاولة الاتصال بالعملاء المعرضين للخطر بشكل واضح.
لكن PaperCut لا يمكنه فحص شبكاتك الداخلية لتحذيرك بشأن الخوادم غير المصححة وغير المرئية عبر الإنترنت.
ستحتاج إلى القيام بذلك بنفسك ، للتأكد من أنك لم تترك ثغرات يمكن من خلالها للمهاجمين الذين اخترقوا شبكتك بالفعل "قليلاً فقط" توسيع وصولهم المارق إلى "الكثير".
ماذا ستفعلين.. إذًا؟
- قراءة PaperCut's ملخص مفصل المنتجات المتأثرة وكيفية تحديثها.
- إذا كان لديك PaperCut MF أو PaperCut NG ، تحتاج إلى التأكد من تثبيت أحد الإصدارات التالية: 20.1.7, 21.2.11الطرق أو 22.0.9.
- إذا كنت تعتقد أنك قد تكون في خطر ، لأنك تستخدم هذه المنتجات ولم تكن قد قمت بإصلاحها قبل 2023-04-13 ، عندما ظهرت أول ثغرات معروفة حتى الآن ، تحقق من الأسئلة الشائعة حول PaperCut لمساعدتك في البحث عن ما هو معروف مؤشرات التسوية (IoCs).
تذكر ، بالطبع ، أن IoCs التي تشاركها PaperCut ، بالضرورة ، تقتصر على أولئك الذين رأوهم بالفعل في الهجمات التي يعرفون عنها بالفعل ، لذلك عدم وجود دليل ليس دليلا على الغياب.
إذا لم تكن متأكدًا مما تبحث عنه ، أو كيف تبحث عنه ، ففكر في الحصول على الكشف المدار والاستجابة فريق (MDR) لمساعدتك.
هل لديك وقت أو خبرة كافية لرعاية الاستجابة لتهديدات الأمن السيبراني؟ هل تشعر بالقلق من أن ينتهي الأمن السيبراني بإلهائك عن كل الأشياء الأخرى التي تحتاج إلى القيام بها؟
معرفة المزيد عن تمكنت Sophos من الكشف والاستجابة:
24/7 مطاردة التهديدات واكتشافها والاستجابة لها ▶
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/04/25/papercut-security-vulnerabilities-under-active-attack-vendor-urges-customers-to-patch/
