Десятки тысяч организаций в опасности из-за очередной уязвимости в популярном программном обеспечении.
PaperCut, поставщик ПО для управления печатью, Для просмотра ссылки Войдиили Зарегистрируйся 19 апреля, что неисправленные серверы PaperCut MF/NG активно используются злоумышленниками в дикой природе ( ITW ), сославшись на отчёты об уязвимостях от компании Trend Micro .
Выявленные уязвимости включают в себя:
или Зарегистрируйся выпускает программное обеспечение для управления печатью, совместимое со всеми основными брендами и платформами. ПО используется крупными компаниями, государственными организациями и учебными заведениями, в то время как официальный сайт PaperCut утверждает, что компания обслуживает сотни миллионов клиентов из более чем 100 стран.
Специлисты Huntress , которые ранее обнаружили около 1800 общедоступных серверов PaperCut, Для просмотра ссылки Войдиили Зарегистрируйся , что наблюдали PowerShell-команды, порождаемые программным обеспечением PaperCut для установки RMM -ПО, такого как Atera и Syncro, чтобы обеспечить постоянство доступа и выполнения вредоносного кода на заражённых хостах.
Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot, хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.
Обычно исследователи кибербезопасности приписывают вредонос TrueBot предположительно российской киберпреступной организации, известной как Для просмотра ссылки Войдиили Зарегистрируйся . Она же, в свою очередь, имеет исторические связи с Для просмотра ссылки Войди или Зарегистрируйся и её кластером Для просмотра ссылки Войди или Зарегистрируйся , который в прошлом способствовал распространению программы-вымогателя Для просмотра ссылки Войди или Зарегистрируйся .
«Хотя конечная цель текущей вредоносной активности с использованием программного обеспечения PaperCut неизвестна, эти связи с известной вымогательской группировкой, хоть и несколько косвенные, вызывают беспокойство», — заявили в Huntress.
«Потенциально, доступ, полученный в результате эксплуатации PaperCut, может быть использован в качестве плацдарма, ведущего к последующему перемещению в сети жертвы и, в конечном итоге, к развертыванию вымогательского ПО», — добавили исследователи.
Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.
PaperCut, поставщик ПО для управления печатью, Для просмотра ссылки Войди
Выявленные уязвимости включают в себя:
- ZDI-CAN-18987 / PO-1216: ошибка при удаленном выполнении кода без проверки подлинности, влияющая на PaperCut MF или NG версии 8.0 или более ранней на всех платформах, как для серверов приложений, так и для сайтов. (Оценка CVSS v3.1: 9,8 – критическая);
- ZDI-CAN-19226 / PO-1219: ошибка в раскрытии информации неавторизованному злоумышленнику, влияющая на PaperCut MF или NG версии 15.0 или более ранней на всех платформах для серверов приложений. (Оценка CVSS v3.1: 8.2 – высокий).
Специлисты Huntress , которые ранее обнаружили около 1800 общедоступных серверов PaperCut, Для просмотра ссылки Войди
Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot, хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.
Обычно исследователи кибербезопасности приписывают вредонос TrueBot предположительно российской киберпреступной организации, известной как Для просмотра ссылки Войди
«Хотя конечная цель текущей вредоносной активности с использованием программного обеспечения PaperCut неизвестна, эти связи с известной вымогательской группировкой, хоть и несколько косвенные, вызывают беспокойство», — заявили в Huntress.
«Потенциально, доступ, полученный в результате эксплуатации PaperCut, может быть использован в качестве плацдарма, ведущего к последующему перемещению в сети жертвы и, в конечном итоге, к развертыванию вымогательского ПО», — добавили исследователи.
Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.
- Источник новости
- www.securitylab.ru