کمپانی PaperCut هشداری صادر کرده در خصوص اینکه هکرها دارن از اکسپلویت آسیب پذیری CVE-2023-27350 در PaperCut MF/NG سوء استفاده میکنن
PaperCut توسعه دهنده برنامه های مدیریت چاپگر هستش که فرایند چاپ رو برای سازمانها ساده تر میکنه. محصولات این کمپانی توسط سازمانهای دولتی ، شرکتهای بزرگ و موسسات آموزشی استفاده میشه و طبق گفته خود شرکت 100 میلیون کاربر از 100 کشور دنیا داره.
آسیب پذیری ها توسط محققین ترندمیکرو کشف و گزارش شده .
آسیب پذیری CVE-2023-27350 :
آسیب پذیری در کلاس SetupCompleted هستش و شدت بحرانی و امتیاز 9.8 داره. مهاجم بدون احراز هویت و از راه دور ، میتونه فرایند احرازهویت دور بزنه و با امتیاز SYSTEM کد دلخواه اجرا کنه. کمپانی اعلام کرده که شواهدی رو مشاهده کرده که هکرها از 18 آوریل ، 29 فروردین، شروع به اکسپلویت این آسیب پذیری کردن.
نسخه های آسیب پذیر :
نسخه های 8 و قبلتر PaperCut MF و NG (همه پلتفرمها – site servers و application servers)
نسخه اصلاح شده :
PaperCut MF and PaperCut NG versions 20.1.7, 21.2.11, and 22.0.9 and later
نسخه های قبل از 19 به پایان عمرشون رسیدن و نسخه اصلاحیه براشون منتشر نمیشه.
آسیب پذیری CVE-2023-27351 :
آسیب پذیری در کلاس SecurityRequestFilter هستش و شدت بالا و امتیاز 8.2 داره. آسیب پذیری امکان دسترسی به اطلاعات کاربران ذخیره شده در PaperCut از جمله نام کاربری، آدرس ایمیل ، هش پسوردهای کاربران داخلی PaperCut و … داره. مهاجم میتونه از این اطلاعات برای دور زدن احراز هویت استفاده کنه.
نسخه های آسیب پذیر :
نسخه های 15.0 و قبلتر PaperCut MF و NG (همه پلتفرمها – application servers)
نسخه اصلاح شده :
PaperCut MF and PaperCut NG versions 20.1.7, 21.2.11, and 22.0.9 and later
نسخه های قبل از 19 به پایان عمرشون رسیدن و نسخه اصلاحیه براشون منتشر نمیشه.
اگه امکان بروزرسانی رو ندارید میتونید از طریق Allow list در Options > Advanced > Security > Allowed site server IP addresses ، دسترسی رو فقط به IPهایی بدید که در شبکه شما توسط Site Servers تایید شدن.
تشخیص اینکه هک شدید یا نه:
کمپانی گفته روش 100 درصدی برای اینکه تشخیص بدید هک شدید یا نه وجود نداره اما موارد زیر رو بررسی کنید:
- در رابط مدیریت برنامه و در بخش Logs > Application Log، فعالیتهای مشکوک رو بررسی کنید.
- بروزرسانی ها بخصوص توسط کاربری بنام setup wizard
- ایجاد کاربر جدید مشکوک یا دستکاری کلیدهای پیکربندی
- اگه لاگهای های سرور Application Server در حالت debug هستش، بررسی کنید که خطوطی هستش که عبارت SetupCompleted داشته باشه اما با نصب یا ارتقاء مرتبط نباشه. لاگهای Server رو میشه در مسیر زیر پیدا کرد:
1 |
[app-path]/server/logs/*.* |
با توجه به اینکه هکر میتونه ردپای خودش پاک کنه توصیه شده ادمین ها اگه فک میکنن هک شدن، یه بکاپ بگیرن، Application Server رو کلا پاک کنن و از یه نقطه ای بکآپ که فکر میکنن امنه، بازیابی کنن.