PaperCut ผู้พัฒนาซอฟต์แวร์ Print management ออกมาแจ้งเตือนผู้ใช้งานให้เร่งทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน หลังจากที่พบว่าช่องโหว่ดังกล่าวได้ถูกกลุ่ม Hacker นำไปใช้ในการโจมตี PaperCut server ที่มีช่องโหว่
PaperCut เป็นผู้พัฒนาซอฟต์แวร์ Print management ที่สามารถใช้งานร่วมกันได้กับหลากหลายแบรนด์ และหลากหลายแพลตฟอร์ม ซึ่งถูกใช้โดยบริษัทขนาดใหญ่ องค์กรของรัฐ และสถาบันการศึกษา ในขณะที่เว็บไซต์อย่างเป็นทางการอ้างว่ามีผู้ใช้บริการกว่าหลายร้อยล้านคนจากกว่า 100 ประเทศ
โดยทาง PaperCut ได้รับการแจ้งเตือนการพบช่องโหว่จาก Trend Micro เมื่อวันที่ 10 มกราคม 2023 โดยพบช่องโหว่ที่มีความรุนแรงระดับ Critical 2 รายการที่ส่งผลกระทบต่อ PaperCut MF/NG
ช่องโหว่สองรายการคือ:
ZDI-CAN-18987 / PO-1216 : เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งส่งผลกระทบต่อ PaperCut MF หรือ NG เวอร์ชัน 8.0 หรือใหม่กว่า บนแพลตฟอร์ม OS ทั้งหมดสำหรับทั้งแอปพลิเคชัน และไซต์เซิร์ฟเวอร์ (คะแนน CVSS v3.1: 9.8/10 ความรุนแรงระดับ Critical)
ZDI-CAN-19226 / PO-1219 : เป็นช่องโหว่ information disclosure โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งส่งผลกระทบต่อ PaperCut MF หรือ NG เวอร์ชัน 15.0 หรือใหม่กว่าบนแพลตฟอร์มระบบปฏิบัติการทั้งหมดสำหรับเซิร์ฟเวอร์แอปพลิเคชัน (คะแนน CVSS v3.1: 8.2/10 ความรุนแรงระดับสูง)
โดย PaperCut แนะนำให้ผู้ใช้งานเวอร์ชันที่ได้รับผลกระทบ ทำการอัปเกรดเป็น PaperCut MF และ PaperCut NG เวอร์ชัน 20.1.7, 21.2.11 และ 22.0.9 และใหม่กว่า รวมไปถึงสำหรับเวอร์ชันที่ได้รับผลกระทบ ซึ่งเป็นเวอร์ชันที่เก่ากว่า 19 ลงไปจะไม่ได้รับการอัปเดตเนื่องจาก "end of life" ไปแล้ว ทำให้ไม่มีการซัพพอร์ทอีกต่อไป ซึ่งทาง PaperCut แนะนำให้ทำการเปลี่ยนเป็นรุ่นเวอรชันล่าสุดแทน
การแก้ไขปัญหาแบบชั่วคราวในกรณีที่ยังไม่สามารถอัปเดตได้
- ZDI-CAN-18987 / PO-1216 : ไม่มีวิธีการแก้ไขปัญหาชั่วคราว แนะนำให้ทำการอัปเดตเท่านั้น
- ZDI-CAN-19226 / PO-1219 : สามารถแก้ไขได้โดยใช้ข้อจำกัด "Allow list" ภายใต้ "Options > Advanced > Security > Allowed site server IP addresses" เพื่ออนุญาตให้เฉพาะรายการที่อนุญาตเท่านั้นที่สามารถเข้าถึงได้
การตรวจสอบเซิร์ฟเวอร์ว่าถูกโจมตีหรือไม่
PaperCut ระบุว่ายังไม่มีวิธีตรวจสอบได้ 100% ว่าเซิร์ฟเวอร์ถูกโจมตีไปแล้วหรือไม่ แต่แนะนำให้ผู้ดูแลระบบดำเนินการตามขั้นตอนต่อไปนี้เพื่อตรวจสอบ:
- ค้นหากิจกรรมที่น่าสงสัยใน Logs > Application Log ภายใน PaperCut admin interface
- โดยเฉพาะอย่างยิ่ง สังเกตการอัปเดตใด ๆ จากผู้ใช้งานที่เรียกว่า [setup wizard]
- ตรวจสอบผู้ใช้งานใหม่ (ที่น่าสงสัย) ที่กำลังสร้าง หรือคีย์การกำหนดค่าอื่น ๆ ที่ถูกแก้ไข
- หาก Application Server server logs อยู่ใน debug mode ให้ตรวจสอบเพื่อดูว่ามีบรรทัดที่ระบุถึง SetupCompleted ในแต่ละครั้งที่ไม่สัมพันธ์กับการติดตั้ง หรืออัปเกรดเซิร์ฟเวอร์หรือไม่ สามารถดู Server logs ได้ใน [app-path]/server/logs/. โดยที่ log เป็นไฟล์บันทึกล่าสุด
สิ่งสำคัญคือแม้ว่าข้อมูลข้างต้นอาจสามารถตรวจสอบพฤติกรรมที่อาจเป็นการโจมตีที่เกิดขึ้นได้ แต่ Hacker อาจลบร่องรอยการโจมตีออกไปจาก log ดังนั้นผู้ดูแลระบบที่สงสัยว่าเซิร์ฟเวอร์ของตนถูกโจมตี ควรสำรองข้อมูล ลบข้อมูล Application Server และสร้างทุกอย่างใหม่จากจุดสำรองข้อมูลที่มีความปลอดภัย
ที่มา : bleepingcomputer
You must be logged in to post a comment.