New PaperCut flaw in print management software exposes servers to RCE attacks
2023/08/05 SecurityAffairs — Windows 用の印刷管理ソフトウェア PaperCut に、深刻度の高い脆弱性 CVE-2023-39143 (CVSS:8.4) が存在することが、Horizon3 のサイバー・セキュリティ研究者たちにより発見された。この脆弱性の悪用に成功した攻撃者は、特定の条件下において、リモートで・コードを実行することが可能になる。この、パストラバーサルの脆弱性 CVE-2023-39143 により、任意のファイルの読取/削除/アップロードが、攻撃者に対して許される可能性がある。この脆弱性は、PaperCut NG/MF のバージョン 22.1.3 以前に影響する。
Horizon3 のアドバイザリには、「脆弱性 CVE-2023-39143 の悪用に成功した未認証の攻撃者は、PaperCut MF/NG アプリケーション・サーバにおいて、任意のファイルの読込/削除/アップロードを可能にする。また、特定の設定においては、リモート・コードが実行される可能性も生じる。特に、この脆弱性は、Windows 上で動作する PaperCut サーバに大きく影響する。外部デバイスの統合設定が有効になっている場合には、リモート・コード実行につながるファイル・アップロードが可能になる。この設定は、PaperCut NG 商用版や PaperCut MF などの、PaperCut のバージョンにおいてデフォルトで ON になっている」と記されている。
Horizon3 の研究者たちは、インストールされた PaperCut の大半が、外部デバイス統合設定をオンにした状態で Windows 上で実行されていると推定している。
この問題は、PaperCut NG/MF 用のパッチ・バージョン 22.1.3 で対処されている。
以下は、この問題のタイムラインである:
- 2023年5月30日:Horizon3 が最初の情報開示を PaperCut チームに送信
- 2023年5月31日:PaperCut が情報開示の受領を確認
- 2023年6月5日:Horizon3 がリモートコード実行に関して情報を更新
- 2023年6月8日:PaperCut は開示情報について検証可能なことを確認
- 2023年6月〜7月:両社の協力により中間ビルドがテストされ、調整が進む
- 2023年7月24日:Horizon3 が CVE-2023-39143 を MITRE にリザーブ
- 2023年7月25日:PaperCut がパッチ・バージョン 22.1.3 をリリース
- 2023年8月4日:今日のアドバイザリ
2023年4月には、PaperCut サーバに影響を及ぼす脆弱性 CVE-2023-27350 (CVSS:9.8) の活発な悪用が話題になった。
Horizon3 は、「CVE-2023-27350と比較して、今日の CVE-2023-39143 は、悪用のために攻撃者が事前に権限を持つ必要はなく、ユーザーによる操作も必要ない。ただし、CVE-2023-27350 とは対照的に、CVE-2023-39143 の悪用は複雑であり、サーバを侵害するためには複数の問題を連鎖させる必要がある。したがって、ワンショット の RCE 脆弱性ではない」と付け加えている。
脆弱性 CVE-2023-27350 の悪用で話題になった PaperCut ですが、新たな脆弱性 CVE-2023-39143 が発見されたとのことです。ただし、幸いなことに、脆弱性 CVE-2023-39143 を悪用するには、複雑な連鎖を組み合わせる必要があるとのことです。とは言え、パッチが適用されていますので、早めの対応が望まれます。
IoT OT Security News 
You must be logged in to post a comment.