ช่องโหว่ระดับ Critical ใหม่ของ PaperCut ทำให้เซิร์ฟเวอร์ที่ไม่ได้แพตช์อาจถูกโจมตีจาก RCE attacks

เมื่อเร็ว ๆ นี้ PaperCut ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ในซอฟต์แวร์การจัดการการพิมพ์ NG/MF ซึ่งช่วยให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ Windows ที่ยังไม่ได้อัปเดตแพตช์

โดยช่องโหว่มีหมายเลข CVE-2023-39143 ช่องโหว่นี้เป็นผลมาจากช่องโหว่ path traversal 2 รายการ ที่ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Horizon3 ซึ่งทำให้ผู้โจมตีสามารถอ่าน ลบ (more…)

พบการโจมตีโดยใช้ช่องโหว่ RCE ใน PaperCut โดยสามารถหลีกเลี่ยงการตรวจจับในปัจจุบันได้

นักวิจัยจาก VulnCheck ได้เผยแพร่ proof-of-concept (PoC) ซึ่งเป็นชุดสาธิตการโจมตีช่องโหว่ใน PaperCut รูปแบบใหม่ ที่สามารถหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยได้

CVE-2023-27350 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ critical) หรือช่องโหว่ใน PaperCut ซึ่งเป็นช่องโหว่ระดับ critical ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ใน PaperCut MF หรือ NG เวอร์ชัน 8.0 และใหม่กว่า ซึ่งกำลังถูกนำมาใช้ในการโจมตีด้วยแรนซัมแวร์ (more…)

Microsoft เผยแก๊งแรนซัมแวร์ Clop และ LockBit อยู่เบื้องหลังการโจมตีเซิร์ฟเวอร์ PaperCut

Microsoft เผยแก๊งแรนซัมแวร์ Clop และ LockBit อยู่เบื้องหลังการโจมตีเซิร์ฟเวอร์ PaperCut

Microsoft ระบุว่าการโจมตีเซิร์ฟเวอร์ PaperCut ล่าสุดมาจากการเรียกค่าไถ่ของแก๊ง Clop และ LockBit โดยใช้ช่องโหว่ CVE-2023–27350 และ CVE-2023–27351 ที่ถูกนำไปใช้อย่างแพร่หลาย เนื่องจากมีการปล่อย PoC สำหรับทำ Remote Code Execution (RCE) เพื่อขโมยข้อมูลขององค์กรและทำให้ผู้โจมตีรายอื่นสามารถเจาะเซิร์ฟเวอร์ได้โดยใช้ช่องโหว่เหล่านี้

เดือนที่ผ่านมา มีการพบช่องโหว่ 2 รายการได้รับการแก้ไขใน PaperCut Application Server ที่ช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต

CVE-2023–27350 / ZDI-CAN-18987 / PO-1216 (คะแนน CVSS v3.1: 9.8 ระดับความรุนแรง critical): เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ไม่ผ่านการตรวจสอบสิทธิ์ส่งผลกระทบต่อ PaperCut MF หรือ NG เวอร์ชัน 8.0 หรือใหม่กว่าบนแพลตฟอร์ม OS ทั้งหมดสำหรับแอปพลิเคชันและไซต์เซิร์ฟเวอร์
CVE-2023–27351 / ZDI-CAN-19226 / PO-1219 (คะแนน CVSS v3.1: 8.2 ระดับความรุนแรง high): เป็นช่องโหว่ในการเปิดเผยข้อมูลที่ไม่ผ่านการรับรองความถูกต้องส่งผลกระทบต่อ PaperCut MF หรือ NG เวอร์ชัน 15.0 หรือใหม่กว่าบนแพลตฟอร์มระบบปฏิบัติการทั้งหมดสำหรับเซิร์ฟเวอร์แอปพลิเคชัน

PaperCut เป็นซอฟต์แวร์การจัดการการพิมพ์ที่รองรับแบรนด์และแพลตฟอร์มของเครื่องพิมพ์เกือบทั้งหมดที่ใช้งานผ่าน Windows, Linux, Mac, Chromebook, Android, iOS และ Novell เพื่อลดค่าใช้จ่ายและผลกระทบต่อสิ่งแวดล้อม ซึ่งถูกใช้โดยบริษัทขนาดใหญ่ องค์กรของรัฐ และสถาบันการศึกษา โดยเว็บไซต์ของบริษัทระบุว่ามีผู้ใช้หลายร้อยล้านคนจากกว่า 100 ประเทศ

ในวันพุธที่ 26 เมษายน 2023 Microsoft เปิดเผยว่าแก๊งแรนซัมแวร์ Clop และ LockBit อยู่เบื้องหลังการโจมตีเซิร์ฟเวอร์ PaperCut เพื่อขโมยข้อมูลองค์กร โดย Microsoft ได้ติดตามผู้โจมตีในชื่อ 'Lace Tempest' ซึ่งมีกิจกรรมคาบเกี่ยวกับ FIN11 และ TA505 ที่เชื่อมโยงกับการดำเนินการของ Clop ransomware

Clop ransomware ได้ยืนยันกับ BleepingComputer ว่าพวกเขาอยู่เบื้องหลังการโจมตีเซิร์ฟเวอร์ PaperCut โดยได้เริ่มโจมตีในวันพฤหัสบดีที่ 13 เมษายน 2023 ผ่านช่องโหว่ของ PaperCut เพื่อเข้าถึงเครือข่ายของบริษัทเป็นครั้งแรก และทำการติดตั้งมัลแวร์ TrueBot อย่างไรก็ตามผู้โจมตีกล่าวว่าได้ใช้ช่องโหว่นี้เพื่อการเข้าถึงเครือข่ายแทนที่จะทำการขโมยไฟล์เอกสารจากเซิร์ฟเวอร์ และในการตอบคำถามเกี่ยวกับการถูกโจมตีด้วย LockBit ทาง Microsoft กล่าวว่าพวกเขาไม่มีอะไรจะแบ่งปันเพิ่มเติม แต่ได้มีการพูดถึง Cobalt Strike beacon ได้ถูกนำไปใช้เพื่อแพร่กระจายผ่านเครือข่าย และขโมยข้อมูลด้วยแอปพลิเคชันแชร์ไฟล์ MegaSync โดยนอกเหนือจาก Clop แล้วยังพบว่าการบุกรุกบางอย่างได้นำไปสู่การโจมตีด้วย LockBit ransomware

เป้าหมายสำคัญสำหรับ Clop คือ การใช้ประโยชน์จากเซิร์ฟเวอร์ PaperCut ด้วยรูปแบบทั่วไปที่เราพบเห็นจากแก๊งแรนซัมแวร์ Clop ในช่วงสามปีที่ผ่านมา ซึ่งการดำเนินการของ Clop ยังคงมีการเข้ารหัสไฟล์ในการโจมตี และยังได้บอกกับทาง BleepingComputer ว่าพวกเขาต้องการขโมยข้อมูลเพื่อเรียกค่าไถ่จากเหยื่อ
โดยการเปลี่ยนแปลงกลยุทธ์นี้เกิดขึ้นครั้งแรกในปี 2020 เมื่อ Clop ได้ใช้ช่องโหว่ของ Accelion FTA Zero-day เพื่อขโมยข้อมูลจากบริษัทประมาณ 100 แห่ง และเมื่อเร็ว ๆ นี้ยังมีการใช้ช่องโหว่ Zero-day ในแพลตฟอร์มแชร์ไฟล์ที่ปลอดภัยของ GoAnywhere MFT เพื่อขโมยข้อมูลจากบริษัท 130 แห่ง

PaperCut มีฟังก์ชั่น "Print Archives" ที่บันทึกงานพิมพ์และเอกสารทั้งหมดที่ส่งผ่านเซิร์ฟเวอร์ทำให้เป็นตัวเลือกที่ดีสำหรับการโจมตีเพื่อขโมยข้อมูล แต่อย่างไรก็ยังไม่เป็นที่แน่ชัดว่าการโจมตีเหล่านี้เริ่มขึ้นหลังจากที่มีการเปิดเผยช่องโหว่ดังกล่าวต่อสาธารณะหรือไม่ โดย Microsoft ได้แนะนำให้ผู้ดูแลระบบทำการแพตช์โดยเร็วที่สุด และแนะนำทุกองค์กรที่ใช้งาน PaperCut MF หรือ NG ทำการอัปเกรดเป็นเวอร์ชั่น 20.1.7, 21.2.11 และ 22.0.9 ทันทีหรือเวอร์ชั่นที่สูงกว่าเพื่อปิดไขช่องโหว่เหล่านี้

ที่มา : bleepingcomputer

พบ Hacker ใช้ช่องโหว่ RCE ระดับ critical บน PaperCut servers ในการโจมตีเป้าหมาย

PaperCut ผู้พัฒนาซอฟต์แวร์ Print management ออกมาแจ้งเตือนผู้ใช้งานให้เร่งทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน หลังจากที่พบว่าช่องโหว่ดังกล่าวได้ถูกกลุ่ม Hacker นำไปใช้ในการโจมตี PaperCut server ที่มีช่องโหว่ (more…)