ช่องโหว่ระดับ Critical ใหม่ของ PaperCut ทำให้เซิร์ฟเวอร์ที่ไม่ได้แพตช์อาจถูกโจมตีจาก RCE attacks

เมื่อเร็ว ๆ นี้ PaperCut ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ในซอฟต์แวร์การจัดการการพิมพ์ NG/MF ซึ่งช่วยให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ Windows ที่ยังไม่ได้อัปเดตแพตช์

โดยช่องโหว่มีหมายเลข CVE-2023-39143 ช่องโหว่นี้เป็นผลมาจากช่องโหว่ path traversal 2 รายการ ที่ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Horizon3 ซึ่งทำให้ผู้โจมตีสามารถอ่าน ลบ และอัปโหลดไฟล์บนระบบที่ถูกบุกรุกได้ตามที่ต้องการ โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน

แม้ว่าช่องโหว่จะส่งผลกระทบต่อเซิร์ฟเวอร์ที่มีการตั้งค่า Configuration เฉพาะบางอย่าง ซึ่ง Horizon3 ระบุในรายงานที่เผยแพร่เมื่อวันศุกร์ว่าเซิร์ฟเวอร์ Windows PaperCut ส่วนใหญ่เปิดใช้งานการตั้งค่าลักษณะนี้อยู่

การตั้งค่านี้จะถูกเปิดใช้งานเป็นค่าเริ่มต้นในการติดตั้ง PaperCut เช่น PaperCut NG Commercial version หรือ PaperCut MF

"จากข้อมูลตัวอย่างที่ Horizon3 ประเมินพบว่า การติดตั้ง PaperCut ส่วนใหญ่ที่กำลังทำงานอยู่บน Windows มีการเปิดการตั้งค่า external device integration setting ไว้อยู่"

สามารถใช้คำสั่งต่อไปนี้เพื่อตรวจสอบว่าเซิร์ฟเวอร์มีความเสี่ยงต่อการถูกโจมตีโดยใช้ช่องโหว่ CVE-2023-39143 และทำงานอยู่บน Windows หรือไม่ (หากได้รับ response code 200 แสดงว่ามีช่องโหว่) :

curl -w "%{http_code}" -k --path-as-is "https://<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png"

ผู้ดูแลระบบที่ยังไม่สามารถติดตั้งแพตซ์อัปเดตความปลอดภัยได้ในทันที (ตามที่ Horizon3 แนะนำ) สามารถใช้วิธีการระบุ IP ที่ได้รับอนุญาตโดยใช้ฟังก์ชัน IP Address Allow-listing

โดยจากการค้นหาของ Shodan แสดงให้เห็นว่าเซิร์ฟเวอร์ PaperCut ประมาณ 1,800 เครื่องสามารถเข้าถึงได้จากอินเทอร์เน็ต แม้ว่าจะไม่ใช่ทุกเครื่องที่เสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2023-39143 ก็ตาม

เซิร์ฟเวอร์ PaperCut ตกเป็นเป้าหมายของกลุ่ม ransomware หลายกลุ่มเมื่อช่วงต้นปีที่ผ่านมา โดยการใช้ประโยชน์จากช่องโหว่ RCE ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ (CVE-2023–27350) และช่องโหว่ในการเปิดเผยข้อมูลที่มีระดับความรุนแรงสูง (CVE-2023–27351)

ไม่กี่วันหลังจากการเปิดเผยข้อมูลครั้งแรก นักวิจัยด้านความปลอดภัยของ Horizon3 ได้เผยแพร่ Proof-of-Concept (PoC) สำหรับการทดสอบช่องโหว่ ซึ่งถือเป็นการช่วยให้ผู้โจมตีอื่น ๆ มีข้อมูลสำหรับนำไปใช้ในการโจมตีได้

Microsoft เชื่อมโยงการโจมตีที่กำหนดเป้าหมายไปที่เซิร์ฟเวอร์ PaperCut กับกลุ่ม Clop และ LockBit ransomware ซึ่งใช้ช่องโหว่ดังกล่าวในการขโมยข้อมูลขององค์กรจากระบบที่ไม่ปลอดภัย

Microsoft เปิดเผยว่ากลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลของอิหร่านที่รู้จักกันในชื่อ Muddywater และ APT35 มีส่วนเกี่ยวข้องในการโจมตีช่องโหว่ดังกล่าวด้วย

CISA เพิ่มช่องโหว่ CVE-2023–27350 ลงในรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่องในวันที่ 21 เมษายน โดยสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐฯ เร่งอัปเดตแพตซ์ภายในวันที่ 12 พฤษภาคม 2023

 

ที่มา : bleepingcomputer