PaperCut می‌گوید هکرها از نقایص امنیتی «بحرانی» در سرورهای اصلاح نشده سوء استفاده می‌کنند.

PaperCut سازنده نرم‌افزار مدیریت چاپ می‌گوید مهاجمان از یک آسیب‌پذیری امنیتی با رتبه‌بندی بحرانی برای دسترسی به سرورهای وصله‌نشده در شبکه‌های مشتریان سوءاستفاده می‌کنند.

PaperCut دو محصول مدیریت چاپ PaperCut NG و PaperCut MF را ارائه می دهد که توسط دولت های محلی، شرکت های بزرگ و موسسات بهداشتی و آموزشی استفاده می شود. وب سایت PaperCut می گوید بیش از 100 میلیون کاربر از بیش از 70000 سازمان در سراسر جهان دارد.

هفته گذشته، PaperCut در توصیه‌ای اعلام کرد که آسیب‌پذیری مهمی که در اوایل ماه مارس اصلاح کرده بود، در معرض حمله فعالی علیه ماشین‌هایی است که هنوز به‌روزرسانی امنیتی را نصب نکرده‌اند. این آسیب‌پذیری که به‌عنوان CVE-2023-27350 ردیابی می‌شود، امتیاز 9.8 از 10 ممکن را از نظر شدت آسیب‌پذیری کسب می‌کند، زیرا می‌تواند به یک مهاجم تأیید نشده اجازه دهد تا از راه دور کدهای مخرب را بدون نیاز به اعتبارنامه روی سرور اجرا کند.

PaperCut همچنین زنگ خطری را در مورد نقص جداگانه اما مشابه در نرم افزار خود به صدا درآورد که به عنوان CVE-2023-27351 ردیابی شده است و دارای امتیاز آسیب پذیری 8.2 از 10 است. این اشکال به هکرها اجازه می دهد تا اطلاعات مربوط به کاربران ذخیره شده در PaperCut MF و NG مشتری را استخراج کنند. سرورها، از جمله نام کاربری، نام کامل، آدرس ایمیل، اطلاعات بخش، و شماره کارت پرداخت مرتبط با حساب ها.

این شرکت گفت: «هر دوی این آسیب‌پذیری‌ها در PaperCut MF و PaperCut NG نسخه‌های 20.1.7، 21.2.11 و 22.0.9 و جدیدتر برطرف شده‌اند. ما به شدت توصیه می‌کنیم که به یکی از این نسخه‌های حاوی اصلاح ارتقا دهید.

از زمانی که PaperCut حملات درون وحشی را تایید کرد، شرکت امنیت سایبری Huntress گفت که هکرها را مشاهده کرده است که از آسیب‌پذیری‌ها برای نصب نرم‌افزارهای مدیریت از راه دور قانونی – Atera و Syncro – در سرورهای بدون وصله در پشتی استفاده می‌کنند. هانترس گفت که حدود 1800 سرور PaperCut در معرض اینترنت را شناسایی کرده است.

هانترس گفت که مهاجمان از ابزارهای راه دور برای نصب بدافزار موسوم به Truebot استفاده کردند که اغلب توسط باند Clop تحت حمایت روسیه قبل از استقرار باج افزار استفاده می شود. همچنین اعتقاد بر این است که Clop از TrueBot به عنوان بخشی از هک انبوه خود برای هدف قرار دادن مشتریان ابزار انتقال فایل GoAnywhere Fortra استفاده کرده است.

هانترس نوشت: «در حالی که هدف نهایی فعالیت فعلی اعمال نفوذ از نرم‌افزار PaperCut ناشناخته است، این پیوندها (البته تا حدودی غیرمستقیم) به یک موجودیت باج‌افزار شناخته شده نگران‌کننده است. «به طور بالقوه، دسترسی به‌دست‌آمده از طریق بهره‌برداری PaperCut می‌تواند به‌عنوان پایه‌ای که منجر به حرکت بعدی در شبکه قربانی و در نهایت استقرار باج‌افزار می‌شود، استفاده شود».

هانترس گفت که برای ارزیابی تهدید ناشی از این دو آسیب‌پذیری، یک سوءاستفاده اثبات‌مفهوم منتشر نشده ایجاد کرده است. روز دوشنبه، محققان شرکت خودکار پنت‌کننده Horizon3 کد سوءاستفاده‌کننده اثبات مفهوم خود را برای آسیب‌پذیری با رتبه 9.8 منتشر کردند.

CISA روز جمعه بالاترین شدت نقص CVE-2023-27350 را به لیست آسیب‌پذیری‌های مورد سوء استفاده فعال خود اضافه کرد و به آژانس‌های فدرال دستور داد تا سیستم‌های خود را در برابر بهره‌برداری مداوم ظرف سه هفته تا 12 مه ایمن کنند.