PaperCut в огне. Хакеры вторглись в тысячи компаний — ваша следующая?
NewsMakerОни не оставляют следов. До той секунды, пока вы не кликнете по пустой папке.
Бюро кибербезопасности США (CISA) выпустило срочное предупреждение об активной эксплуатации серьёзной уязвимости в популярном ПО для управления печатью PaperCut NG и MF. Ошибка, получившая идентификатор CVE-2023-2533 , позволяет злоумышленникам выполнять произвольный код на сервере, если администратор системы откроет специально сформированную ссылку. Такая атака возможна в условиях текущей сессии администратора и при наличии уязвимости к подделке межсайтовых запросов (CSRF).
PaperCut утверждает, что его продукты установлены в более чем 70 000 организациях по всему миру, включая образовательные учреждения, корпорации и госструктуры, а общее число пользователей превышает 100 миллионов. Несмотря на то, что баг был устранён ещё в июне 2023 года, CISA указывает, что уязвимость до сих пор активно используется, и требует от федеральных агентств США устранить её до 18 августа в рамках директивы BOD 22-01. Эта директива обязывает все гражданские учреждения федерального уровня в кратчайшие сроки закрывать известные вектора атак.
Хотя точных деталей о текущих злоупотреблениях пока не раскрыто, организация Shadowserver насчитывает более 1100 открытых серверов PaperCut NG и MF, находящихся в интернете. При этом не все из них подвержены CVE-2023-2533, но наличие даже одного уязвимого экземпляра в критической инфраструктуре может стать причиной серьёзных последствий.
PaperCut уже не в первый раз оказывается в центре внимания из-за уязвимостей. В первой половине 2023 года сервера этой платформы стали целью для вымогательских группировок, включая LockBit и Clop. Они использовали уязвимость CVE-2023-27350 , допускавшую неаутентифицированное удалённое выполнение кода, а также ошибку CVE-2023-27351 , связанную с утечкой конфиденциальной информации.
Microsoft подтвердила причастность этих группировок, а позже сообщила, что к атакам присоединились и иранские хакеры, связанные с APT-группами MuddyWater и APT35. В ходе атак преступники получали доступ к функции «архивирования печати», которая позволяет сохранять копии всех отправленных на печать документов, что открывало путь к компрометации чувствительной корпоративной информации.
CISA добавила уязвимость CVE-2023-27350 в свой реестр эксплуатируемых уязвимостей ещё 21 апреля 2023 года и дала три недели на обновление систем, после чего, совместно с ФБР, выпустила отдельное предупреждение. Оно касалось атак Bl00dy Ransomware, нацеленных на образовательные учреждения, где PaperCut особенно распространён.
На фоне истории массовых компрометаций с участием этого программного обеспечения CISA призывает не только федеральные учреждения, но и частные компании не откладывать обновление систем. Ведомство подчёркивает, что подобные уязвимости являются постоянным инструментом в арсенале злоумышленников и несут реальную угрозу для всей цифровой инфраструктуры.
Бюро кибербезопасности США (CISA) выпустило срочное предупреждение об активной эксплуатации серьёзной уязвимости в популярном ПО для управления печатью PaperCut NG и MF. Ошибка, получившая идентификатор CVE-2023-2533 , позволяет злоумышленникам выполнять произвольный код на сервере, если администратор системы откроет специально сформированную ссылку. Такая атака возможна в условиях текущей сессии администратора и при наличии уязвимости к подделке межсайтовых запросов (CSRF).
PaperCut утверждает, что его продукты установлены в более чем 70 000 организациях по всему миру, включая образовательные учреждения, корпорации и госструктуры, а общее число пользователей превышает 100 миллионов. Несмотря на то, что баг был устранён ещё в июне 2023 года, CISA указывает, что уязвимость до сих пор активно используется, и требует от федеральных агентств США устранить её до 18 августа в рамках директивы BOD 22-01. Эта директива обязывает все гражданские учреждения федерального уровня в кратчайшие сроки закрывать известные вектора атак.
Хотя точных деталей о текущих злоупотреблениях пока не раскрыто, организация Shadowserver насчитывает более 1100 открытых серверов PaperCut NG и MF, находящихся в интернете. При этом не все из них подвержены CVE-2023-2533, но наличие даже одного уязвимого экземпляра в критической инфраструктуре может стать причиной серьёзных последствий.
PaperCut уже не в первый раз оказывается в центре внимания из-за уязвимостей. В первой половине 2023 года сервера этой платформы стали целью для вымогательских группировок, включая LockBit и Clop. Они использовали уязвимость CVE-2023-27350 , допускавшую неаутентифицированное удалённое выполнение кода, а также ошибку CVE-2023-27351 , связанную с утечкой конфиденциальной информации.
Microsoft подтвердила причастность этих группировок, а позже сообщила, что к атакам присоединились и иранские хакеры, связанные с APT-группами MuddyWater и APT35. В ходе атак преступники получали доступ к функции «архивирования печати», которая позволяет сохранять копии всех отправленных на печать документов, что открывало путь к компрометации чувствительной корпоративной информации.
CISA добавила уязвимость CVE-2023-27350 в свой реестр эксплуатируемых уязвимостей ещё 21 апреля 2023 года и дала три недели на обновление систем, после чего, совместно с ФБР, выпустила отдельное предупреждение. Оно касалось атак Bl00dy Ransomware, нацеленных на образовательные учреждения, где PaperCut особенно распространён.
На фоне истории массовых компрометаций с участием этого программного обеспечения CISA призывает не только федеральные учреждения, но и частные компании не откладывать обновление систем. Ведомство подчёркивает, что подобные уязвимости являются постоянным инструментом в арсенале злоумышленников и несут реальную угрозу для всей цифровой инфраструктуры.