PaperCut Software Flaw Sparks Ransomware Attacks, CISA Warns
2023/05/12 InfoSecurity — PaperCut ソフトウェアの深刻な脆弱性が、近ごろの一連のランサムウェア攻撃に悪用されていると、米国の CISA が警告を発している。広く採用されている印刷管理ソリューション PaperCut に存在する、脆弱性 CVE-2023-27350 の悪用に成功した攻撃者は、認証情報を必要とせずに悪意のコードをリモートで実行できるようになる。その結果として、攻撃者はランサムウェアの展開に成功し、機密データへの不正アクセスに成功している。
深刻化する脅威を受けた CISA と FBI は、5月11日にアドバイザリを発表し、リスクを軽減するために、この脆弱性に早急に対処するようユーザーに呼びかけている。同アドバイザリには、「FBI の観測情報によると、CVE-2023-27350 は、2023年4月中旬から現在に至るまで、 脅威アクターにより悪用されている」と記されている。
2023年5月初旬に FBI が報告したように、Bl00dy ランサムウェア・ ギャングが、教育施設のサブセクターを攻撃している。このグループは、特にサブセクター内の脆弱な PaperCut サーバを狙い、データの流出/システムの暗号化/身代金の要求などを行っている。
このアドバイザリには、「Bl00dy ランサムウェア・ギャングは、被害者のシステムに身代金のメモを残し、暗号化されたファイルの復号化と引き換えに支払いを要求した」と記されている。さらに、同アドバイザリでは、CVE-2023-27350 悪用に関する検出の方法と、Bl00dy ランサムウェア・ギャングの活動に関連する侵害の指標 (IOC) が提供されている。
FBI と CISA は、ユーザーと管理者に対して、直ちにパッチを適用するか、パッチを適用できない場合は回避策を講じることを強く推奨している。特に、すぐにパッチを適用しなかった組織に対しては、侵害を想定し、アドバイザリに記載されている検出シグネチャを使用して、悪意のある活動を調査することを推奨している。
潜在的な侵害が確認された場合には、同文書に含まれるインシデント対応に関する推奨事項を適用する必要がある。このアドバイザリは、FBI の支局の1つで発生したサイバー・インシデントに関する声明を発表してから、数カ月後に発表された。
CISA と FBI が、共同で勧告を出すほど、この PaperCut の脆弱性 CVE-2023-27350 による被害が深刻化しているのでしょう。以下の参照記事にあるように、TrueBot と Clop による悪用が判明し、さらに、検出回避を証明する PoC エクスプロイトが提供されるという状況のようです。ご利用の組織は、状況をご確認ください。
2023/05/04:PaperCut 脆弱性:PoC エクスプロイトによる検出回避
2023/04/27:PaperCut:Cl0p ランサムウェアが悪用 – Microsoft 報告
2024/04/24:PaperCut:観測された Truebot 亜種はロシア由来
IoT OT Security News 
You must be logged in to post a comment.