Новости Российских хакеров подозревают в активной эксплуатации неисправленных серверов PaperCut

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Десятки тысяч организаций в опасности из-за очередной уязвимости в популярном программном обеспечении.


82bnry35s42c9bpj9l8px17wboug8gwh.jpg


PaperCut, поставщик ПО для управления печатью, Для просмотра ссылки Войди или Зарегистрируйся 19 апреля, что неисправленные серверы PaperCut MF/NG активно используются злоумышленниками в дикой природе ( ITW ), сославшись на отчёты об уязвимостях от компании Trend Micro .

Выявленные уязвимости включают в себя:

  • ZDI-CAN-18987 / PO-1216: ошибка при удаленном выполнении кода без проверки подлинности, влияющая на PaperCut MF или NG версии 8.0 или более ранней на всех платформах, как для серверов приложений, так и для сайтов. (Оценка CVSS v3.1: 9,8 – критическая);
  • ZDI-CAN-19226 / PO-1219: ошибка в раскрытии информации неавторизованному злоумышленнику, влияющая на PaperCut MF или NG версии 15.0 или более ранней на всех платформах для серверов приложений. (Оценка CVSS v3.1: 8.2 – высокий).
Компания Для просмотра ссылки Войди или Зарегистрируйся выпускает программное обеспечение для управления печатью, совместимое со всеми основными брендами и платформами. ПО используется крупными компаниями, государственными организациями и учебными заведениями, в то время как официальный сайт PaperCut утверждает, что компания обслуживает сотни миллионов клиентов из более чем 100 стран.

Специлисты Huntress , которые ранее обнаружили около 1800 общедоступных серверов PaperCut, Для просмотра ссылки Войди или Зарегистрируйся , что наблюдали PowerShell-команды, порождаемые программным обеспечением PaperCut для установки RMM -ПО, такого как Atera и Syncro, чтобы обеспечить постоянство доступа и выполнения вредоносного кода на заражённых хостах.

Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot, хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.

Обычно исследователи кибербезопасности приписывают вредонос TrueBot предположительно российской киберпреступной организации, известной как Для просмотра ссылки Войди или Зарегистрируйся . Она же, в свою очередь, имеет исторические связи с Для просмотра ссылки Войди или Зарегистрируйся и её кластером Для просмотра ссылки Войди или Зарегистрируйся , который в прошлом способствовал распространению программы-вымогателя Для просмотра ссылки Войди или Зарегистрируйся .

«Хотя конечная цель текущей вредоносной активности с использованием программного обеспечения PaperCut неизвестна, эти связи с известной вымогательской группировкой, хоть и несколько косвенные, вызывают беспокойство», — заявили в Huntress.

«Потенциально, доступ, полученный в результате эксплуатации PaperCut, может быть использован в качестве плацдарма, ведущего к последующему перемещению в сети жертвы и, в конечном итоге, к развертыванию вымогательского ПО», — добавили исследователи.

Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.
 
Источник новости
www.securitylab.ru

Похожие темы