Уязвимость безопасности принтера PaperCut может быть намного хуже, чем предполагалось изначально

Уязвимость безопасности принтера PaperCut может быть намного хуже, чем предполагалось изначально

26 апреля 2023 г.

Появилась дополнительная информация о том, как преступники используют недавно обнаруженный Ошибки безопасности PaperCut, которые пытались использовать скромные офисные принтеры для доступа к корпоративным сетям.

Согласно новому отчету BleepingComputer, киберпреступники используют две уязвимости в популярном программном обеспечении print для предоставления программного обеспечения удаленного управления Atera. к уязвимым конечным точкам. Такое программное обеспечение позволяет злоумышленникам получить полный контроль над целевыми устройствами.

Мы также получили два доказательства концепции (PoC), демонстрирующие, как именно можно использовать уязвимости, экспоненциально увеличивая их разрушительный потенциал. Первый PoC был выпущен компанией Horizon3, занимающейся оценкой поверхности атаки, в которой поясняется, что эксплойт позволяет «удаленно выполнять код, злоупотребляя встроенной функцией «скриптинга» для принтеров».

Несколько целей

Провайдеры управляемых платформ кибербезопасности Huntress также продемонстрировали свои PoC, но только в виде демо-видео. Фактическая PoC еще не опубликована.

Положительным моментом является то, что существует всего около 1700 доступных в Интернете серверов PaperCut, на которые могут нацелиться злоумышленники, сообщает BleepingComputer со ссылкой на данные поиска Shodan. Тем не менее, даже одна успешная атака — это слишком много.

Тем не менее, существуют исправления и обходные пути для устранения недостатков, поэтому пользователям рекомендуется немедленно устранять проблему и минимизировать любой потенциальный риск. Системные администраторы должны убедиться, что их программное обеспечение исправлено до версий 20.1.7, 21.2.11 (MF) и 22.0.9 (NG).

Второй недостаток также можно смягчить, применив ограничения «Список разрешений», которые можно найти в разделе Параметры > Дополнительно > Безопасность > Разрешенные IP-адреса серверов сайта, и разрешив доступ к сети только проверенным IP-адресам серверов сайта. .

Тем, кто заинтересован в перепроверке того, были ли взломаны ваши системы, не повезло, поскольку PaperCut утверждает, что невозможно с абсолютной уверенностью определить, взломал ли сеть злоумышленник.

Разработчики предложили ИТ-командам искать подозрительную активность в административном интерфейсе PaperCut в разделе Журналы > Журнал приложений, включая обновления от пользователя с именем [мастер установки]. Они также могут искать новых создаваемых пользователей или измененные ключи конфигурации.