Huntress: Most PaperCut Installations Not Patched Against Already-Exploited Security Flaw
2024/04/24 SecurityWeek — 大半の Windows/macOS にインストールされている PaperCut は、すでに攻撃で悪用されているが、深刻な脆弱性に対してパッチが適用されていないケースが多いと、エンドポイント/レスポンス・セキュリティ企業である Huntress が警告している。このセキュリティ上の欠陥は、脆弱性 CVE-2023-27350 (CVSS 9.8) として追跡されており、PaperCut MF/NG プリント管理システムにおける、不適切なアクセス制御のバグに起因すると説明されている。この脆弱性の悪用に成功した攻撃者は、認証を回避して、リモートから System ユーザーの権限を用いて、任意のコードを実行できる。
2023年3月の、PaperCut MF/PaperCut NG バージョン 20.1.7/21.2.11/ 22.0.9 のリリースで、この脆弱性に対するパッチが適用されている。しかし、先週に同社は、この脆弱性がサイバー攻撃で悪用されていると警告し、直ちにインストールを更新するよう顧客に促している。
その一方で Huntress は、このアップデートは緊急を要するものだが、大半の PaperCut MF/NG の顧客は、利用可能なパッチを適用していない状況にあると、新しいレポートで指摘している。
Huntress がモニタリングしている環境では、PaperCut がインストールされた 1,000台以上の Windows ホストが確認されている。そのうち、脆弱性のあるバージョンは 900 以上あり、約 700の組織にまたがっているという。
さらに同社は、PaperCut Server がインストールされた3台の macOS ホストを確認しており、そのうちの2台で脆弱なバージョンを使用されていると指摘している。PaperCut のインスタンスは、インターネットからアクセスできないはずだが、Shodan の検索によると、インターネットを介してアクセス可能な PaperCut サーバが、少なくとも 1,800台存在することが判明している。
Huntress が観測した最初の攻撃では、攻撃者は脆弱なシステムに持続的にアクセスするために、正規の Atera/Syncro RMM (Remote Management and Maintenance) アプリケーションのコピーを導入していた。
Huntress の研究者たちが、一連の攻撃で観察されたドメインを分析しているときに、Truebot マルウェアの亜種である Windows DLL が特定された。それは、脅威アクター Silence が関与するポスト・エクスプロイト・ツールであり、Cl0p ランサムウェアの背後にいる脅威アクターである、ロシアのハッキング・グループ TA505 との関連性が疑われている。
Huntress は、「PaperCut のソフトウェアを悪用する、このアクティビティの最終目的は不明だが、既知のランサムウェアの関連性は、状況証拠的ではあるが気になるところだ。PaperCut の悪用により得られたアクセスは、被害者ネットワーク内への継続的な攻撃や、ランサムウェア展開の足がかりとして利用される可能性がある」と指摘している。
さらに Huntress は、PaperCut MF/NG の脆弱なバージョンの分析を行い、印刷管理ソリューションがインストールされていると、SetupCompleted ページに移動するだけで、認証をバイパスできることを発見した。
このバグの悪用に成功した攻撃者は、認証情報を知らなくても、管理者としてログインし、すべてのコンフィグレーションとセッティングにアクセスできる。その後に攻撃者は、PaperCut MF/NG のサンドボックスを無効化するために、いくつかの調整を行い、サーバ上で Java コードを実行することも可能だ。
Huntress は、認証を回避する方法と、脆弱な PaperCut サーバ上でリモート・コードを実行する方法を実証する、PoC エクスプロイトを作成した。
その一方で PaperCut は、この脆弱性と悪用に関する追加情報を共有した。一連の攻撃について、最初に知ったのは 4月17日であり、この欠陥に関連するアクティビティが、4月13日に発見されたことを明らかにした。
先週に、米国の CISA は、PaperCutのMF/NG の脆弱性を “Known Exploited Vulnerabilities” リストに追加している。
PaperCut ですが、日本でも多くのユーザーに利用されているのでしょうか? 米国のセキュリティ型メディアを見ると、あちらこちらで取り上げられていて、ちょっとした騒ぎになっているようにも感じられます。Cl0p や TA505 が絡んでいるようなので、おそらく、続報も出ると思います。
IoT OT Security News 
You must be logged in to post a comment.