Suçluların, kurumsal ağlara giriş elde etmek için mütevazi ofis yazıcılarını kullanmayı amaçlayan, yakın zamanda keşfedilen PaperCut güvenlik açıklarını nasıl kullandıkları hakkında daha fazla bilgi ortaya çıktı.
hakkında yeni bir rapora göre BleepingBilgisayarsiber suçlular popüler baskıda iki kusur kullanıyor (yeni sekmede açılır) Atera uzaktan yönetim yazılımını savunmasız uç noktalara ulaştırmak için yönetim yazılımı. Bu tür yazılımlar, saldırganların hedef cihazların tam kontrolünü ele geçirmesini sağlar.
Ayrıca, güvenlik açıklarından tam olarak nasıl yararlanılabileceğini gösteren ve yıkıcı potansiyellerini katlanarak artıran iki kavram kanıtı (PoC) aldık. İlk PoC, saldırı yüzeyi değerlendirme firması Horizon3 tarafından yayınlandı ve açıktan yararlanmanın “yazıcılar için yerleşik ‘Komut Dosyası’ işlevini kötüye kullanarak uzaktan kod yürütmeye” izin verdiğini açıkladı.
Yönetilen siber güvenlik platformu sağlayıcısı Huntress de PoC’lerini sergiledi, ancak yalnızca bir video demosu biçiminde. Gerçek PoC henüz yayınlanmadı.
BleepingComputer, bir Shodan aramasından elde edilen verilere dayanarak, umut ışığının, saldırganların hedefleyebileceği, internete açık yalnızca yaklaşık 1.700 PaperCut sunucusu olması olduğunu söylüyor. Yine de, başarılı bir saldırı bile çok fazladır.
Bununla birlikte, kusurlar için yamalar ve geçici çözümler vardır, bu nedenle kullanıcılara sorunu hemen çözmeleri ve olası riskleri en aza indirmeleri önerilir. Sistem yöneticileri, yazılımlarının 20.1.7, 21.2.11 (MF) ve 22.0.9 (NG) sürümlerine yamalı olduğundan emin olmalıdır.
İkinci kusur, içinde bulunan “İzin verilenler listesi” kısıtlamaları uygulanarak da hafifletilebilir. Seçenekler > Gelişmiş > Güvenlik > İzin verilen site sunucusu IP adreslerive yalnızca doğrulanmış Site Sunucusu IP adreslerinin ağa erişmesine izin verilmesi.
PaperCut, bir tehdit aktörünün ağı ihlal edip etmediğini kesin olarak belirlemenin imkansız olduğunu söylediğinden, sistemlerinizin güvenliğinin ihlal edilip edilmediğini tekrar kontrol etmekle ilgilenenlerin şansı kalmadı.
Geliştiriciler, BT ekiplerinin PaperCut yönetici arayüzünde şüpheli etkinlik aramasını önerdi. Günlükler > Uygulama Günlüğüadlı bir kullanıcıdan gelen güncellemeler dahil [setup wizard]. Ayrıca, oluşturulan yeni kullanıcıları veya değiştirilen yapılandırma anahtarlarını da arayabilirler.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)