Kritik bir yazıcı yazılımı güvenlik açığı için açıktan yararlanma kodu, son beş gündür halihazırda devam etmekte olan kötü amaçlı yazılım saldırıları tehdidini şiddetlendirebilecek bir sürümle Pazartesi günü genel kullanıma sunuldu.
Güvenlik açığı, şirketin web sitesinde 70.000 kuruluştan 100 milyondan fazla kullanıcıya sahip olduğu belirtilen PaperCut olarak bilinen baskı yönetimi yazılımında bulunuyor. Bu gönderi yayına girdiğinde, Shodan arama motoru, yazılımın 1.700’e yakın örneğinin İnternet’e açık olduğunu gösterdi.
Geçen Çarşamba, PaperCut, Mart ayında yazılımda yamaladığı kritik bir güvenlik açığının, henüz Mart güncellemesini yüklememiş makinelere yönelik aktif saldırı altında olduğu konusunda uyardı. CVE-2023–27350 olarak izlenen güvenlik açığı, olası 10 üzerinden 9,8 önem derecesine sahiptir. Kimliği doğrulanmamış bir saldırganın oturum açmaya veya parola sağlamaya gerek duymadan uzaktan kötü amaçlı kod yürütmesine olanak tanır. Önem derecesi 8,2 olan CVE-2023–27351 olarak izlenen ilgili bir güvenlik açığı, kimliği doğrulanmamış saldırganların yama uygulanmamış sunuculardan kullanıcı adlarını, tam adları, e-posta adreslerini ve diğer potansiyel olarak hassas verileri çıkarmasına olanak tanır.
PaperCut’un saldırıları ifşa etmesinden iki gün sonra, güvenlik firması Huntress, yama uygulanmamış sunuculara biri Atera ve diğeri Syncro olarak bilinen iki uzaktan yönetim yazılımı parçası yüklemek için CVE-2023-27350’den yararlanan tehdit aktörleri bulduğunu bildirdi. Kanıtlar, tehdit aktörünün Truebot olarak bilinen kötü amaçlı yazılımı yüklemek için uzaktan yönetim yazılımını kullandığını gösterdi. Truebot, Clop olarak bilinen fidye yazılımı grubuyla bağları olan Silence adlı bir tehdit grubuyla bağlantılıdır. Daha önce Clop, Truebot’u GoAnywhere olarak bilinen yazılımdaki kritik bir güvenlik açığından yararlanan vahşi saldırılarda kullanıyordu.
Huntress araştırmacıları Cuma günkü raporlarında, “PaperCut’un yazılımından yararlanan mevcut etkinliğin nihai hedefi bilinmemekle birlikte, bilinen bir fidye yazılımı varlığına yönelik bu bağlantılar (biraz dolaylı da olsa) endişe vericidir,” diye yazdı. “Potansiyel olarak, PaperCut istismarıyla elde edilen erişim, kurban ağı içinde takip hareketine ve nihayetinde fidye yazılımı dağıtımına yol açan bir dayanak noktası olarak kullanılabilir.”
Huntress, güvenlik açıkları ve bunlardan nasıl yararlanılacağı hakkında geniş bir açıklama sağladı. Ayrıca, bir açıktan yararlanma eylemini gösteren aşağıdaki videoyu da yayınladı. Ancak şirket, istismar kodunu yayınlamadı.
İstismar, varsayılan olarak mevcut olan şablon yazıcı betiklerinden birine kötü amaçlı girişler ekleyerek çalışır. Kötü amaçlı komut dosyası, güvenlik sanal alanını devre dışı bırakarak Java çalışma zamanına doğrudan erişim elde edebilir ve oradan ana sunucuda kod yürütebilir. Huntress, “Amaçlandığı gibi, betikler yalnızca gelecekteki yürütme için kanca işlevi gören işlevleri içerir, ancak küresel kapsam, kaydedildikten hemen sonra yürütülür ve bu nedenle, Uzaktan Kod Yürütmeyi gerçekleştirmek için bir yazıcı komut dosyasının basit bir düzenlemesinden yararlanılabilir,” diye açıkladı.
Pazartesi günü, güvenlik firması Horizon3’teki araştırmacılar, güvenlik açıklarına ilişkin analizlerini ve daha ciddi olanı için kavram kanıtı istismar kodunu yayınladılar. Huntress tarafından açıklanan PoC istismarına benzer şekilde, yerleşik komut dosyası işlevini kurcalamak ve kod yürütmek için kimlik doğrulama atlama güvenlik açığını kullanır.
Cuma günü Huntress, koruduğu müşteri ortamlarında PaperCut kurulu yaklaşık 1.000 Windows makinesi olduğunu bildirdi. Bunlardan yaklaşık 900’ü yamasız kaldı. İzlediği üç macOS makinesinden yalnızca biri yamalandı. Rakamların PaperCut’un daha geniş kurulum tabanını temsil ettiğini varsayarsak, Huntress verileri binlerce sunucunun istismar edilme tehdidi altında olduğunu gösteriyor. Daha önce belirtildiği gibi, İnternet’e açık 1.700’e yakın sunucu bulmak kolaydır. Ek dedektiflik daha fazlasını bulabilir.
PaperCut kullanan herhangi bir kuruluş, PaperCut MF ve NG sürüm 20.1.7, 21.2.11 ve 22.0.9’u kullandığından emin olmalıdır. PaperCut ve Huntress, hemen güncelleme yapamayan kuruluşlar için de geçici çözümler sunar. Huntress ve Horizon3, PaperCut kullanıcılarının açıklardan yararlanmaya maruz kalıp kalmadıklarını belirlemek için kontrol edebilecekleri göstergeler de sağlar.