黑客正积极利用PaperCut旧漏洞

网络安全和基础设施安全局(CISA)发布警告称，黑客正在积极利用PaperCut NG/MF打印管理软件中的高危漏洞CVE-2023-2533，敦促超过7万家机构的1亿多用户立即安装补丁。

CVE-2023-2533是一个跨站请求伪造(CSRF)漏洞，已于2023年6月修复，可导致远程代码执行。攻击者需要诱骗具有当前登录会话的管理员点击恶意链接，从而可能导致安全设置被篡改或任意代码执行。CISA未透露当前攻击的具体细节，但已将该漏洞列入已知被利用漏洞目录。

根据2021年11月发布的第22-01号强制性操作指令(BOD)，联邦民事行政部门(FCEB)机构必须在8月18日前修补此漏洞。CISA建议所有组织(包括私营部门)优先修补漏洞，称此类漏洞是恶意网络攻击者的常见攻击媒介，对联邦企业构成重大风险。

非营利安全组织Shadowserver目前识别出1100多台暴露在互联网上的PaperCut MF和NG服务器。并非所有这些服务器都易受CVE-2023-2533攻击。虽然CISA没有直接证据表明CVE-2023-2533与勒索软件攻击有关，但PaperCut服务器在2023年初曾遭勒索软件组织入侵。这些入侵利用了CVE-2023-27350(一个严重的未认证远程代码执行漏洞)和CVE-2023-27351(一个高危信息泄露漏洞)。

2023年4月，微软将针对PaperCut服务器的攻击与LockBit和Clop勒索软件团伙联系起来，这些团伙利用其访问权限窃取企业数据。大约两周后，微软报告称伊朗国家支持的黑客组织Muddywater和APT35也参与了这些攻击。这些威胁行为者利用了"打印归档"功能，该功能旨在保存通过PaperCut打印服务器路由的文档。

CISA于2023年4月21日将CVE-2023-27350列入其主动利用漏洞目录，要求美国联邦机构在2023年5月12日前保护其服务器安全。一个月后，CISA和联邦调查局联合发布公告，指出Bl00dy勒索软件团伙也开始利用CVE-2023-27350远程代码执行漏洞获取教育机构网络的初始访问权限。

更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）

公众号二维码