サイバーセキュリティ

活発な攻撃を受けている PaperCut のセキュリティ脆弱性 – ベンダーは顧客にパッチを適用するよう促しています

プラトン再発行

日付：

2023 年 4 月 25 日

閲覧数： 125

by ポール・ダックリン

正直に言うと、プリンター管理ソフトウェアについて聞いたことがなかったことを認めます。 ペーパーカット 今週まで。

実際、私たちが初めてその名前を聞いたのは、サイバー犯罪とマルウェア攻撃の文脈でした。私たちは単純に「PaperCut」が私たちが BWAIN と呼んでいるものだと思っていました。

BWAIN は、印象的な (そしてメディアに精通した) 名前を持つバグの風刺用語です。ハートブリード or 砲弾ショック昔は、これは脆弱性または何らかのエクスプロイトに言及していると考えていました。

そのため、PaperCut という会社に謝罪します。この名前は、ビジネスの印刷リソースを管理、制御、および公正に請求できるようにすることで、紙の使用量を削減することを暗示するものです。

さらに、PaperCut 自体が PR の目的でこの脆弱性アラートを発行しているのではないことを指摘しておきます。なぜなら、自社製品のバグについて積極的にメディア報道を求めることは、企業が通常わざわざ行うことではないからです。

しかし、この場合の PaperCut には脱帽です。 XNUMX つの脆弱性の重要性先月パッチを適用した製品では、メインの Web ページの上部に緑色の縞模様の盾が置かれ、次のように書かれています。 「すべての NG/MF 顧客に対する緊急のセキュリティメッセージ。」

パッチが適用されていないゼロデイ脆弱性やデータ侵害について、これほど明白ではない方法で認めた企業を見てきました。そのため、サイバーセキュリティの専門用語がおそらく orotund で賞賛するものについて、Papercut チームに「よくやった」と言っているのです。段階 十分な注意.

.s-button+.s-button { margin-left: .3125rem; } .s-button { トランジション: すべての .15s リニア; フォントサイズ: .875rem; 行の高さ: 1.5; 色: #f2f2f2; font-family: SophosSansMedium、Helvetica Neue、Helvetica、Arial、sans-serif; フォントの太さ: 400; フォントスタイル: 通常; 表示: インラインブロック; パディング: .3125rem 1.25rem; カーソル: ポインタ; テキスト整列: 中央; テキスト装飾: なし; ボーダー: 1px ソリッド #005bc8; ボーダー半径: 3px; 背景色: #005bc8; テキストシャドウ: なし; } .s-button:hover { text-decoration: none; 色: #fff; 境界線の色: #002d62; 背景色: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; 境界線の色: #fff; 背景色: #fff; } .s-ad-sophos-mdr { font-size: 1rem; 行の高さ: 1.5; 色: #242629; font-family: SophosSansRegular、Helvetica Neue、Helvetica、Arial、sans-serif; フォントの太さ: 400; フォントスタイル: 通常; 位置: 相対; 最大幅: 769px; マージン: 15px 自動; パディング: 30px 30px 25px; 遷移: ボックスシャドウ .25s キュービックベジエ (.645、.045、.355、1); テキスト整列: 中央; 背景色: #0d141d; バックグラウンドリピート: リピートなし; 背景位置: 50%; 背景サイズ: カバー; ボックスの影: 0 0 0 0 0 透明; 背景色: #005bc8; 背景画像: なし; 背景位置: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; 行の高さ: 1.125; margin-bottom: 4px; 色: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight、Helvetica Neue、Helvetica、Arial、sans-serif; フォントの太さ: 400; フォントスタイル: 通常; フォントサイズ: 17px; 色: #fff; } .s-ad-sophos-mdr__action { マージントップ: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { 位置: 絶対; 上: 15px; 右: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { 表示: インラインブロック; 幅: 64px; 高さ: 11px; 垂直整列: 上; バックグラウンドリピート: リピートなし; 背景サイズ: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold、Helvetica Neue、Helvetica、Arial、sans-serif; フォントの太さ: 400; フォントスタイル: 通常; フォントサイズ: 28px; フォントの太さ: 700; 行の高さ: 1; margin-bottom: 10px; テキスト整列: 左; } .s-ad-sophos-mdr__title svg { 最大幅: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; 行の高さ: 1.25; テキスト整列: 左; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { ボーダー半径: 20px; } @media (最小幅:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { 位置: 絶対; 右: 30px; 下: 30px; } } @media (最大幅:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { フォントサイズ: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { パディングトップ: 30px; } }

パッチが適用されていますが、必ずしも更新されているわけではありません

問題は、ダビングされたバグのペアのようです CVE-2023-27350 & CVE-2023-27351 2023 年 XNUMX 月末に PaperCut によってパッチが適用されました。

最初のバグは、PaperCut によって次のように説明されています。

[CVE-2023-27350 潜在的な脆弱性] は、認証されていない攻撃者が PaperCut アプリケーションサーバーでリモートコード実行 (RCE) を取得することを可能にします。これは、ログインせずにリモートで実行できます。

そのため、PaperCut アプリケーションサーバーがインターネット経由で直接到達できない場合でも、たとえば感染したラップトップのゲストユーザーなど、ネットワークにすでに基本的な足がかりを持っている攻撃者は、このバグを悪用して、 ピボットまたは 横に移動 (これは「飛躍する」という専門用語です)、ビジネス内でより特権的で強力な地位に就くことができます。

XNUMX 番目のバグは、リモートでコードを実行する能力を引き継ぎませんが、攻撃者が個人を特定できる情報をかき出すことを可能にします。この情報は、会社全体と個人としてのスタッフの両方に対するその後のソーシャルエンジニアリング攻撃に役立つ可能性があります。

[CVE-2023-27351 の脆弱性] により、認証されていない攻撃者が、PaperCut MF または NG 内に保存されているユーザーに関する情報 (ユーザー名、氏名、電子メールアドレス、オフィス/部門情報、ユーザーに関連付けられているカード番号など) を引き出す可能性があります。攻撃者は、PaperCut で作成された内部ユーザーのみのハッシュ化されたパスワードを取得することもできます […]。これは、ログインせずにリモートで実行できます。

パッチが公開されてから約 XNUMX か月が経過していますが、すべての顧客がこれらのパッチを適用しているわけではないようです。

PaperCut は、2023-04-17T17:30Z にパッチが適用されていないサーバーに対する攻撃について最初に警告を受けたと述べており、現在ログを調べており、これまでに知られている最も初期の攻撃はその 2023 日前の 04-13- に発生したことを示唆しています。 15T29:XNUMXZ.

つまり、2023 年 04 月 13 日 (執筆時点では前々週の木曜日) より前にパッチを適用した場合、ほぼ確実に犯罪者より先に進んでいたでしょうが、 まだパッチを適用していない場合は、本当に必要です。

PaperCut は懸命に努力していることに注意します 「パブリックインターネット上でポートが開いている、パッチが適用されていない PaperCut MF/NG サーバーのリストを作成するため」、そして、明らかに危険にさらされている顧客に連絡を取ろうとします。

ただし、PaperCut は内部ネットワークをスキャンして、インターネット上で見えないパッチが適用されていないサーバーについて警告することはできません。

すでにネットワークに「ほんの少し」ハッキングした攻撃者が不正なアクセスを「かなり多く」まで拡張できる抜け穴を残さないようにするために、自分でこれを行う必要があります。

何をするか？

PaperCut を読む詳細な要約 影響を受ける製品とその更新方法。
PaperCut MFまたはPaperCut NGをお持ちの方は、 次のいずれかのバージョンがインストールされていることを確認する必要があります。 20.1.7, 21.2.11または 22.0.9.
危ないと思ったら、 これらの製品を使用していて、2023 年 04 月 13 日までにパッチを適用していなかったので、これまでに知られているエクスプロイトが最初に出現したとき、チェックアウトしてください。 PaperCut のよくある質問既知のものを探すのに役立ちます 侵害の兆候 (IoC)。

もちろん、PaperCut が共有する IoC は、必然的に、彼らがすでに知っている攻撃ですでに確認されたものに限定されることを忘れないでください。 証拠の欠如は不在の証拠ではない.

何を探すべきか、または探す方法がわからない場合は、管理された検出と応答 (MDR) チームがお手伝いします。

サイバーセキュリティの脅威に対応するための時間や専門知識が不足していませんか? サイバーセキュリティのせいで、やらなければならない他のすべてのことから気が散ってしまうのではないかと心配していますか?

詳細については、こちらから ソフォスが管理する検出と対応:
24時間年中無休の脅威のハンティング、検出、および対応 ▶

SEO を活用したコンテンツと PR 配信。今日増幅されます。
プラトアイストリーム。 Web3 データインテリジェンス。知識増幅。こちらからアクセスしてください。
未来を鋳造する w エイドリエン・アシュリー。こちらからアクセスしてください。
情報源： https://nakedsecurity.sophos.com/2023/04/25/papercut-security-vulnerabilities-under-active-attack-vendor-urges-customers-to-patch/

スポット画像

最新のインテリジェンス

スポット画像