PaperCut高危漏洞可使未修复服务器受RCE攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Horizon3.ai 公司的安全研究员从 Windows 版本的 PaperCut 打印管理软件中发现了一个新的高危漏洞 (CVE-2023-39143)，在特定情况下可导致在未修复 Windows 服务器上获得远程代码执行权限。

该漏洞的CVSS评分8.4，影响 PaperCut NG/MF 22.1.3 之前的版本，是路径遍历和文件上传漏洞的组合，可使威胁行动者在执行无需用户交互的复杂度较低攻击后，在受陷系统上读取、删除和上传任意文件。

虽然该漏洞仅影响切换外部设备继承设置的非默认配置中的服务器，但 Horizon3 在上周五发布的一份报告中提到，多数 Windows PaperCut 服务器启用了该配置。

Horizon3 提到，“PaperCut 的某些版本默认启用该设置，如 PaperCut NG 商用版本或PaperCut MF。从Horizon3 从现实环境中收集的样本数据来看，我们预测大多数 PaperCut 版本在开启了外部设备集成设置的 Windows 上运行。”

可在 Windows 上用如下命令查看服务器是否易受 CVE-2023-39143 攻击（响应如是200，则表明服务器需要打补丁）：

curl -w "%{http_code}" -k --path-as-is https://<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png

无法立即安装安全更新的管理员，则可仅增加需要访问白名单的IP地址。

Shodan 搜索发现，目前约1800台 PaperCut 服务器被暴露在互联网，不过并非所有易受该漏洞利用攻击。

遭勒索团伙和国家黑客攻击

今年早些时候，多个勒索团伙组合利用严重的未认证RCE漏洞 (CVE-2023-27350) 和高危信息泄露漏洞 (CVE-2023-27351) 攻击 PaperCut 服务器。PaperCut 公司在4月19日披露称，这些漏洞遭活跃利用，提醒管理员和安全团队立即更新服务器。几天后，Horizon3 安全研究员发布 RCE PoC 利用，导致其它威胁行动者有机会攻击易受攻击的服务器。

微软认为 PaperCut 服务器攻击与 Clop 和 LockBit 勒索团伙有关，后者利用该访问权限从受陷系统中窃取企业数据。在这些数据盗取攻击中，该勒索团伙利用保存所有通过 PaperCut 打印服务器发送文档的 “Print Archiving” 特性。两周后，微软披露称伊朗国家黑客组织 Muddywater 和 APT35 也发动了攻击。CISA 在4月21日将该漏洞列入已遭活跃利用漏洞清单，要求美国所有联邦机构在2023年5月12日之前保护服务器的安全。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

Milesight 工业路由器受数十个RCE漏洞影响

Apache Jackrabbit 中存在严重的RCE漏洞

未修复的 Apache Tomcat 服务器传播 Mirai 僵尸网络恶意软件

P2PInfect 蠕虫利用 Lua 沙箱逃逸满分漏洞攻击 Redis 服务器

原文链接

https://www.bleepingcomputer.com/news/security/new-papercut-critical-bug-exposes-unpatched-servers-to-rce-attacks/

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~