黑客正积极利用 PaperCut 旧漏洞

网络安全和基础设施安全局(CISA)发布警告称，黑客正在积极利用 PaperCut NG/MF 打印管理软件中的高危漏洞 CVE-2023-2533，敦促超过 7 万家机构的 1 亿多用户立即安装补丁。

CVE-2023-2533 是一个跨站请求伪造(CSRF)漏洞，已于 2023 年 6 月修复，可导致远程代码执行。攻击者需要诱骗具有当前登录会话的管理员点击恶意链接，从而可能导致安全设置被篡改或任意代码执行。CISA 未透露当前攻击的具体细节，但已将该漏洞列入已知被利用漏洞目录。

根据 2021 年 11 月发布的第 22-01 号强制性操作指令(BOD)，联邦民事行政部门(FCEB)机构必须在 8 月 18 日前修补此漏洞。CISA 建议所有组织(包括私营部门)优先修补漏洞，称此类漏洞是恶意网络攻击者的常见攻击媒介，对联邦企业构成重大风险。

非营利安全组织 Shadowserver 目前识别出 1100 多台暴露在互联网上的 PaperCut MF 和 NG 服务器。并非所有这些服务器都易受 CVE-2023-2533 攻击。虽然 CISA 没有直接证据表明 CVE-2023-2533 与勒索软件攻击有关，但 PaperCut 服务器在 2023 年初曾遭勒索软件组织入侵。这些入侵利用了 CVE-2023-27350(一个严重的未认证远程代码执行漏洞)和 CVE-2023-27351(一个高危信息泄露漏洞)。

2023 年 4 月，微软将针对 PaperCut 服务器的攻击与 LockBit 和 Clop 勒索软件团伙联系起来，这些团伙利用其访问权限窃取企业数据。大约两周后，微软报告称伊朗国家支持的黑客组织 Muddywater 和 APT35 也参与了这些攻击。这些威胁行为者利用了"打印归档"功能，该功能旨在保存通过 PaperCut 打印服务器路由的文档。

CISA 于 2023 年 4 月 21 日将 CVE-2023-27350 列入其主动利用漏洞目录，要求美国联邦机构在 2023 年 5 月 12 日前保护其服务器安全。一个月后，CISA 和联邦调查局联合发布公告，指出 Bl00dy 勒索软件团伙也开始利用 CVE-2023-27350 远程代码执行漏洞获取教育机构网络的初始访问权限。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手