PaperCut 應用服務器在上個月進行了更新,存在兩個主要漏洞,該漏洞可能會允許遠程攻擊者執行未經認證的代碼和訪問敏感信息。
CVE-2023-27350 / ZDI-CAN-18987 / PO-121: 該漏洞會影響到所有操作系統平台上的 PaperCut MF/NG 8.0 甚至是更高的版本,以及其他的應用服務器。它同時還會影響應用服務器和網站服務器。
CVE-2023-27351 / ZDI-CAN-19226 / PO-1219: PaperCut MF 或 NG 15.0 或更高版本中的一個漏洞存在于每個應用服務器平台上,可能會導緻未經認證的信息洩露。
上周接到通知,趨勢科技發現攻擊者已在野利用了該漏洞,PaperCut 向用戶發出了警報。客戶服務器必須盡快更新以确保數據的安全。
微軟威脅情報部門在一條推文内寫道,微軟将最近報告的利用打印管理軟件 PaperCut 中的 CVE-2023-27350 和 CVE-2023-27351 漏洞并使用 Clop 勒索軟件發起的攻擊歸咎于 Lace Tempest(與 FIN11 和 TA505 重疊)威脅行爲者。
上周,微軟威脅情報局根據最近的一份關于 BR11 和 TA505 的報告,确定了 "Lace Tempest " 是利用這些漏洞的威脅行爲者之一。
FIN11 是一個參與開發 Accellion FTA 勒索活動的組織,與臭名昭著的 Clop 勒索軟件團夥有關。據報道,Dridex 是另一個與 TA505 有關的惡意軟件。
Fortra 的文件共享軟件 GoAnywhere 以前曾被與 Clop 勒索軟件組織有關的加密勒索軟件活動所利用。該組織還利用在網絡安全界廣泛傳播的蠕蟲病毒,對系統進行破壞。
PaperCut NG 和 PaperCut MF 存在影響服務器安全的漏洞。未認證的攻擊者可以利用 CVE-2023-27350 對 PaperCut 應用服務器進行遠程代碼執行攻擊,而對 PaperCut MF 或 NG 的遠程代碼執行攻擊還可能使未認證的攻擊者竊取存儲在 PaperCut MF 或 NG 中的用戶信息,如用戶的姓名、全名、電子郵件地址、部門信息和信用卡号碼。
除了訪問從 PaperCut 内部賬戶檢索出的哈希密碼外,攻擊者利用這一漏洞還可以從外部目錄源檢索密碼,如 Microsoft 365 和 Google Workspace(盡管他們無法直接從 Microsoft 365 和 Google Workspace 等外部目錄源訪問檢索出密碼)。
此前有報告顯示,Lace Tempest,也被稱爲 DEV-0950,是 Clop 的一個分支機構。Lace Tempest 已被檢測到使用 GoAnywhere 漏洞和 Raspberry Robin 等惡意軟件作爲勒索軟件攻擊活動的一部分。由于此軟件存在漏洞,PaperCut 自 4 月 13 日起開始成爲攻擊目标。
Clop 已經開始針對該目标進行攻擊
看來,對 PaperCut 服務器的利用非常符合我們在過去三年中觀察到的關于 Clop 勒索軟件團夥的攻擊模式。
盡管 Clop 攻擊活動會繼續加密文件,使得更多的主機被攻擊,但根據海外的媒體報告說,該攻擊行動更傾向于從受害者那裏竊取大量的敏感數據。這樣就可以向他們勒索贖金。
2020 年,Clop 利用了 Accellion 的一個零日漏洞,即 Accellion FTA,他們竊取了大約 100 家公司的數據。
GoAnywhere MFT 安全文件共享平台的一個零日漏洞最近也曾經被 Clop 團夥所利用,他們使用該零日漏洞,從 130 家公司竊取了大量的敏感數據。