Agencja bezpieczeństwa cyberbezpieczeństwa i infrastruktury (CISA) wydała ostrzeżenie dotyczące aktywnego wykorzystania podatności na wysoką oderwanie, CVE-2023-2533, w ramach oprogramowania do zarządzania drukowaniem PaperCut NG/MF, wzywając natychmiastowe łatanie dla ponad 100 milionów użytkowników w 70 000 organizacji.
CVE-2023-2533, podatność na fałszowanie z żądaniem krzyżowego (CSRF) załatany W czerwcu 2023 r. Udostępnia zdalne wykonywanie kodu. Eksploatacja wymaga, aby atakujący oszukał administratora, posiadający bieżącą sesję logowania, do kliknięcia złośliwie spreparowanego łącza, co może prowadzić do zmienionych ustawień bezpieczeństwa lub dowolnego wykonywania kodu. CISA nie opublikowało konkretnych szczegółów dotyczących obecnych ataków, ale ma rejestrowy CVE-2023-2533 do znanego katalogu luk w zabezpieczeniach.
Federalne agencje cywilne oddziału wykonawczego (FCEB) są upoważnione do wiążącej dyrektywy operacyjnej z listopada 2021 r. (BOD) 22-01 w celu załatania tej podatności do 18 sierpnia. CISA doradza wszystkim organizacjom, w tym tych w sektorze prywatnym, do priorytetu łatania, stwierdzając, że takie wrażliwości są częstymi atakami atmponami dla aktorów cybernetycznych i obecnych znaczących risów do przedsięwzięcia.
Microsoft znajduje poważną wadę prywatności w wyszukiwaniu Spotlight Apple
ShadowServer, obecnie organizacja bezpieczeństwa non-profit, identyfikuje Ponad 1100 serwerów MF PaperCut i NG ujawnionych online. Nie wszystkie te serwery są podatne na ataki CVE-2013-2533. Podczas gdy CISA nie ma dowodów bezpośrednio łączących CVE-2023-2533 z atakami oprogramowania ransomware, serwery PaperCut zostały naruszone przez grupy ransomware wcześniej w 2023 r. Te uprzednie naruszenia wykorzystały informacje o wysokiej rozdzielczości CVE-2023-27350, krytyczne nieuprawnione realizację kodu.
W kwietniu 2023 r. Microsoft powiązał ataki na serwerach PaperCut z gangami Lockbit i Clop Ransomware, które wykorzystały swój dostęp do kradzieży danych korporacyjnych. Około dwóch tygodni potem Microsoft poinformował, że irańskie grupy hakerskie wspierane przez państwo, zidentyfikowane jako Muddywater i APT35, również zaangażowały się w te ataki. Ci aktorzy zagrożeń wykorzystali ’Archiwizacja drukowania„Funkcja, zaprojektowana w celu zapisywania dokumentów kierowanych przez serwery drukowania papieru.
W zestawie CISA CVE-2023-27350 W katalogu aktywnie wykorzystywanych luk w dniu 21 kwietnia 2023 r., Wymagając od amerykańskich agencji federalnych zabezpieczenia swoich serwerów do 12 maja 2023 r. Miesiąc później CISA i FBI wspólnie wydały poradę, co wskazuje, że gang Bl00dy Ransware również rozpoczął wykorzystywanie CVE-2023-27350 RCE do uzyskania początkowej organizacji edukacyjnej.
