-
09/04/2020
-
93
-
613 bài viết
Cảnh báo: Lỗ hổng trên PaperCut cho phép chiếm quyền điều khiển máy chủ, đã có POC
PaperCut cho biết những kẻ tấn công đang khai thác các lỗ hổng nghiêm trọng trong PaperCut MF/NG, phần mềm quản lý in phổ biến để cài đặt phần mềm quản trị từ xa Atera, từ đó chiếm quyền điều khiển máy chủ.
PaperCut là phần mềm quản lý in có khoảng 100 triệu người dùng từ hơn 70.000 công ty trên toàn thế giới.
Đáng chú ý là hai lỗ hổng CVE-2023-27350, điểm CVSS 9,8 và CVE-2023-27351, điểm CVSS 8,2. Những lỗ hổng này cho phép kẻ tấn công từ xa bỏ qua xác thực, đồng thời thực thi mã tùy ý trên các máy chủ PaperCut bị xâm nhập có đặc quyền hệ thống. Các cuộc tấn công có độ phức tạp thấp, không yêu cầu tương tác của người dùng.
Theo thống kê của WhiteHat, hơn 1.687 máy chủ PaperCut tiếp xúc với Internet có thể bị nhắm mục tiêu.
Công ty Huntress cũng đã tạo ra PoC để khai thác lỗ hổng, tuy nhiên chưa công bố rộng rãi PoC này.
Trích đoạn video demo:
CISA đã bổ sung lỗ hổng CVE-2023-27350 vào danh sách các lỗ hổng đang bị khai thác.
Hiện cả hai lỗ hổng CVE-2023-27350 và CVE-2023-27351 đã được vá trong PaperCut MF và PaperCut NG phiên bản 20.1.7, 21.2.11 và 22.0.9 trở lên.
Vì vậy WhiteHat khuyến cáo quản trị viên:
Quản trị viên chưa kịp cập nhật bản vá có thể thực hiện các giải pháp tạm thời để ngăn chặn việc khai thác từ xa, bao gồm chặn tất cả lưu lượng truy cập đến cổng quản lý web (cổng mặc định 9191) từ các địa chỉ IP bên ngoài trên một thiết bị biên (edge device), cũng như chặn tất cả lưu lượng đến cổng đó trên tường lửa của máy chủ để giới hạn quyền truy cập quản lý chỉ trên máy chủ và ngăn chặn các rủi ro trên mạng.
Dấu hiệu đầu tiên, kẻ tấn công đã khai thác lỗ hổng để thực thi các lệnh PowerShell cài đặt phần mềm quản lý từ xa Atera và Syncro.
Các cuộc tấn công bắt đầu bằng việc đăng ký miền windowservicecenter(.com) vào ngày 12 tháng 4. Miền này cũng được sử dụng để lưu trữ và lây nhiễm TrueBot - phần mềm độc hại có liên quan đến băng đảng ransomware Clop.
Dù không rõ mục đích cuối cùng của những hoạt động khai thác nhắm vào phần mềm PaperCut là gì, nhưng việc các dấu hiệu có liên quan đến băng đảng ransomware thực sự đáng lo ngại. Vì việc tấn công vào PaperCut có thể cho phép kẻ tấn công tiếp cận và tấn công vào mạng của nạn nhân, triển khai mã hóa dữ liệu và tống tiền.
PaperCut là phần mềm quản lý in có khoảng 100 triệu người dùng từ hơn 70.000 công ty trên toàn thế giới.
Đáng chú ý là hai lỗ hổng CVE-2023-27350, điểm CVSS 9,8 và CVE-2023-27351, điểm CVSS 8,2. Những lỗ hổng này cho phép kẻ tấn công từ xa bỏ qua xác thực, đồng thời thực thi mã tùy ý trên các máy chủ PaperCut bị xâm nhập có đặc quyền hệ thống. Các cuộc tấn công có độ phức tạp thấp, không yêu cầu tương tác của người dùng.
Theo thống kê của WhiteHat, hơn 1.687 máy chủ PaperCut tiếp xúc với Internet có thể bị nhắm mục tiêu.
Đã có mã khai thác PoC
Công ty Horizon3 đã đăng trên blog về thông tin kỹ thuật chi tiết và PoC của lỗ hổng CVE-2023-27350, đồng thời cho biết, khai thác RCE sẽ cho phép thực thi mã từ xa bằng cách lạm dụng chức năng 'Scripting' tích hợp cho máy in.Công ty Huntress cũng đã tạo ra PoC để khai thác lỗ hổng, tuy nhiên chưa công bố rộng rãi PoC này.
Trích đoạn video demo:
CISA đã bổ sung lỗ hổng CVE-2023-27350 vào danh sách các lỗ hổng đang bị khai thác.
Hiện cả hai lỗ hổng CVE-2023-27350 và CVE-2023-27351 đã được vá trong PaperCut MF và PaperCut NG phiên bản 20.1.7, 21.2.11 và 22.0.9 trở lên.
Vì vậy WhiteHat khuyến cáo quản trị viên:
- Cập nhật các bản vá mới nhất ngay lập tức.
- Phân quyền truy cập sử dụng PaperCut, đồng thời hạn chế việc public dịch vụ này ra Internet. Trường hợp nhân viên tổ chức cần sử dụng máy in từ xa, quản trị viên cần thiết lập VPN riêng.
- Rà soát định kỳ Application log của PaperCut. Đặc biệt cần chú ý đến các log sau:
Quản trị viên chưa kịp cập nhật bản vá có thể thực hiện các giải pháp tạm thời để ngăn chặn việc khai thác từ xa, bao gồm chặn tất cả lưu lượng truy cập đến cổng quản lý web (cổng mặc định 9191) từ các địa chỉ IP bên ngoài trên một thiết bị biên (edge device), cũng như chặn tất cả lưu lượng đến cổng đó trên tường lửa của máy chủ để giới hạn quyền truy cập quản lý chỉ trên máy chủ và ngăn chặn các rủi ro trên mạng.
Phát hiện liên quan đến băng đảng ransomware Clop
Theo Huntress, chiến dịch khai thác này liên quan đến các cuộc tấn công diễn ra từ ngày 16 tháng 4.Dấu hiệu đầu tiên, kẻ tấn công đã khai thác lỗ hổng để thực thi các lệnh PowerShell cài đặt phần mềm quản lý từ xa Atera và Syncro.
Các cuộc tấn công bắt đầu bằng việc đăng ký miền windowservicecenter(.com) vào ngày 12 tháng 4. Miền này cũng được sử dụng để lưu trữ và lây nhiễm TrueBot - phần mềm độc hại có liên quan đến băng đảng ransomware Clop.
Dù không rõ mục đích cuối cùng của những hoạt động khai thác nhắm vào phần mềm PaperCut là gì, nhưng việc các dấu hiệu có liên quan đến băng đảng ransomware thực sự đáng lo ngại. Vì việc tấn công vào PaperCut có thể cho phép kẻ tấn công tiếp cận và tấn công vào mạng của nạn nhân, triển khai mã hóa dữ liệu và tống tiền.
Theo Bleeping Computer
Chỉnh sửa lần cuối: