黑客正积极利用 PaperCut 旧漏洞
网络安全和基础设施安全局(CISA)发布警告称,黑客正在积极利用 PaperCut NG/MF 打印管理软件中的高危漏洞 CVE-2023-2533,敦促超过 7 万家机构的 1 亿多用户立即安装补丁。
CVE-2023-2533 是一个跨站请求伪造(CSRF)漏洞,已于 2023 年 6 月修复,可导致远程代码执行。攻击者需要诱骗具有当前登录会话的管理员点击恶意链接,从而可能导致安全设置被篡改或任意代码执行。CISA 未透露当前攻击的具体细节,但已将该漏洞列入已知被利用漏洞目录。
根据 2021 年 11 月发布的第 22-01 号强制性操作指令(BOD),联邦民事行政部门(FCEB)机构必须在 8 月 18 日前修补此漏洞。CISA 建议所有组织(包括私营部门)优先修补漏洞,称此类漏洞是恶意网络攻击者的常见攻击媒介,对联邦企业构成重大风险。
非营利安全组织 Shadowserver 目前识别出 1100 多台暴露在互联网上的 PaperCut MF 和 NG 服务器。并非所有这些服务器都易受 CVE-2023-2533 攻击。虽然 CISA 没有直接证据表明 CVE-2023-2533 与勒索软件攻击有关,但 PaperCut 服务器在 2023 年初曾遭勒索软件组织入侵。这些入侵利用了 CVE-2023-27350(一个严重的未认证远程代码执行漏洞)和 CVE-2023-27351(一个高危信息泄露漏洞)。
2023 年 4 月,微软将针对 PaperCut 服务器的攻击与 LockBit 和 Clop 勒索软件团伙联系起来,这些团伙利用其访问权限窃取企业数据。大约两周后,微软报告称伊朗国家支持的黑客组织 Muddywater 和 APT35 也参与了这些攻击。这些威胁行为者利用了"打印归档"功能,该功能旨在保存通过 PaperCut 打印服务器路由的文档。
CISA 于 2023 年 4 月 21 日将 CVE-2023-27350 列入其主动利用漏洞目录,要求美国联邦机构在 2023 年 5 月 12 日前保护其服务器安全。一个月后,CISA 和联邦调查局联合发布公告,指出 Bl00dy 勒索软件团伙也开始利用 CVE-2023-27350 远程代码执行漏洞获取教育机构网络的初始访问权限。更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)公众号二维码

评论