CISA แจ้งเตือนว่ากลุ่มผู้โจมตีได้เริ่มใช้ช่องโหว่ที่มีระดับความรุนแรงสูงในซอฟต์แวร์ Print Management ของ PaperCut NG/MF เพื่อโจมตี โดยช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ผ่านการโจมตีแบบ Cross-Site Request Forgery (CSRF)
ผู้พัฒนาซอฟต์แวร์ระบุว่า มีผู้ใช้งานผลิตภัณฑ์ของพวกเขามากกว่า 100 ล้านคน ในองค์กรต่าง ๆ กว่า 70,000 แห่งทั่วโลก
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-2533 โดยได้รับการแก้ไขช่องโหว่ไปแล้วเมื่อเดือนมิถุนายน 2023 ที่ผ่านมา โดยช่องโหว่ดังกล่าวทำให้แฮ็กเกอร์สามารถเปลี่ยนแปลงการตั้งค่าความปลอดภัย หรือเรียกใช้โค้ดใด ๆ ก็ได้ หากเหยื่อเป็นผู้ดูแลระบบที่กำลังล็อกอินอยู่ และการโจมตีให้สำเร็จได้นั้น ผู้โจมตีจะต้องใช้วิธีหลอกลวงให้ผู้ดูแลระบบคลิกลิงก์ที่ผู้โจมตีสร้างขึ้นมาเป็นพิเศษ
CISA ยังไม่ได้เปิดเผยรายละเอียดของการโจมตีที่กำลังเกิดขึ้น แต่ได้เพิ่มช่องโหว่ดังกล่าวเข้าไปใน Known Exploited Vulnerabilities Catalog แล้ว พร้อมทั้งกำหนดให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ต้องอัปเดตแพตช์ภายในวันที่ 18 สิงหาคม 2025 ตามข้อกำหนดใน Binding Operational Directive (BOD) 22-01 ที่ออกเมื่อเดือนพฤศจิกายน 2021
แม้ว่าข้อกำหนด BOD 22-01 จะมีผลบังคับใช้กับหน่วยงานรัฐบาลกลางของสหรัฐฯ เท่านั้น แต่ทาง CISA ก็ขอแนะนำให้ทุกองค์กร รวมถึงภาคเอกชน ให้ความสำคัญกับการอัปเดตแพตช์เพื่อปิดช่องโหว่ที่กำลังถูกใช้ในการโจมตีนี้โดยเร็วที่สุด
CISA ได้แจ้งเตือนเมื่อวันจันทร์ที่ผ่านมา โดยระบุว่า "ช่องโหว่ประเภทนี้เป็นช่องทางการโจมตีที่กลุ่มผู้โจมตีทางไซเบอร์นิยมใช้ และก่อให้เกิดความเสี่ยงเป็นอย่างมากต่อระบบของหน่วยงานรัฐบาลกลาง"
ในขณะเดียวกัน องค์กรด้านความปลอดภัยทางไซเบอร์ที่ไม่แสวงหาผลกำไรอย่าง Shadowserver รายงานว่า ในปัจจุบันสามารถตรวจพบเซิร์ฟเวอร์ PaperCut MF และ NG มากกว่า 1,100 เครื่องที่มีการเชื่อมต่อกับอินเทอร์เน็ตโดยตรง แต่ไม่ใช่ทุกระบบที่จะมีช่องโหว่ CVE-2023-2533 นี้
ช่องโหว่ PaperCut เคยถูกกลุ่ม Ransomware ใช้โจมตีมาก่อน
แม้ว่า CISA จะยังไม่มีหลักฐานว่าช่องโหว่ CVE-2023-2533 ถูกใช้ในการโจมตีด้วย ransomware ในขณะนี้ แต่ก่อนหน้านี้ในปี 2023 เซิร์ฟเวอร์ PaperCut เคยถูกแฮ็กโดยกลุ่ม ransomware จากการใช้ช่องโหว่ระดับ Critical แบบ Remote Code Execution (RCE) ที่ไม่ต้องผ่านการยืนยันตัวตน (CVE–2023–27350) และช่องโหว่ information disclosure ที่มีระดับความรุนแรงสูง (CVE–2023–27351)
เมื่อเดือนเมษายน 2023 Microsoft ได้รายงานว่า การโจมตีที่มุ่งเป้าไปยังเซิร์ฟเวอร์ PaperCut โดยมีความเชื่อมโยงกับกลุ่ม LockBit และ Clop ซึ่งกลุ่มเหล่านี้ได้ใช้ช่องโหว่ดังกล่าวในการโจมตีระบบ และทำการขโมยข้อมูลขององค์กร
ประมาณสองสัปดาห์ต่อมา Microsoft ยังได้เปิดเผยอีกว่า กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน (ซึ่งเป็นที่รู้จักในชื่อ Muddywater และ APT35) ก็ได้เข้าร่วมการโจมตีครั้งนี้ด้วยเช่นกัน
ตามที่บริษัท (PaperCut) ได้รายงานไว้ในขณะนั้น กลุ่มผู้โจมตีได้ใช้การโจมตีจากฟีเจอร์ 'Print Archiving' ที่ถูกออกแบบมาเพื่อบันทึกเอกสารทั้งหมดที่ถูกส่งผ่าน printing servers ของ PaperCut
CISA ได้เพิ่มช่องโหว่ CVE-2023-27350 ลงใน catalog ช่องโหว่ที่ถูกใช้โจมตีแล้ว เมื่อวันที่ 21 เมษายน 2023 พร้อมทั้งสั่งการให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ทำการอัปเดตแพตช์ความปลอดภัยของเซิร์ฟเวอร์ให้แล้วเสร็จภายในวันที่ 12 พฤษภาคม 2023
หนึ่งเดือนต่อมา CISA และ FBI ได้ออกประกาศแจ้งเตือนร่วมกัน โดยระบุว่า กลุ่ม Ransomware (Bl00dy) ก็ได้เริ่มใช้ช่องโหว่ RCE นี้ (CVE-2023-27350) เพื่อโจมตีเข้าสู่ระบบเครือข่ายขององค์กรด้านการศึกษาอีกด้วยเช่นกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.