Sigurnosni stručnjaci otkrili novu ranjivost visokog stupnja u PaperCut softveru

Sažetak

CVE-2023-39143 je kritična ranjivost koju su otkrili Sigurnosti stručnjaci iz Horizon3 u PaperCut NG/MF softveru za upravljanje ispisom(Print Management), koji se široko koristi. Pogođeni su PaperCut NG/MF sistemi koji se pokreću na Windows operativnom sistemu prije verzije 22.1.3. Ako koristite PaperCut na Windowsu i izloženi ste Internetu, preporučujemo vam da provjerite sigurnosni buletin za jul 2023. godine za PaperCut i odmah ažurirate softver na najnoviju verziju, ako to već niste učinili.

Utjecaj

CVE-2023-39143 omogućava neautentificiranim napadačima da potencijalno čitaju, brišu i prenose proizvoljne datoteke na PaperCut MF/NG server aplikacije, što može rezultirati izvršenjem udaljenog koda u određenim konfiguracijama.

Ova ranjivost posebno utječe na PaperCut servere koji se pokreću na Windows operativnom sistemu. Postoji mogućnost prenosa datoteka koji dovodi do izvršenja udaljenog koda kada je omogućeno spajanje vanjskih uređaja. Ova postavka je prema zadanim postavkama omogućena u određenim instalacijama PaperCut-a, kao što su PaperCut NG Commercial verzija ili PaperCut MF verzija.

Na osnovu uzoraka podataka koje smo prikupili u stvarnim okruženjima, procjenjujemo da većina instalacija PaperCut-a radi na Windows operativnom sistemu sa omogućenom postavkom spajanja vanjskih uređaja.

Iskorištavanje ranjivosti

PaperCut software je trenutno na meti napadača. Napadaći su usmjerili napade na PaperCut servere koji su ranjivi na CVE-2023-27350, prethodno otkrivenu ranjivost udaljenog izvršenja koda bez autentifikacije, pokrenuti su ranije ove godine.

Za razliku od CVE-2023-27350, CVE-2023-39143 ne zahtijeva da napadači imaju prethodne privilegije za iskorištavanje ranjivosti i ne zahtijeva interakciju korisnika.

Za razliku od CVE-2023-27350, CVE-2023-39143 je složeniji za iskorištavanje, uključuje više koraka koji se moraju povezati kako bi se server kompromitovao. Nije jednostavna ranjivost za “jednostruki” udaljeni izvršetak koda.

Detekcija

Sljedeća naredba provjerava da li PaperCut server nije ažuriran i pokreće se na Windows operativnom sistemu.

curl -w "%{http_code}" -k --path-as-is "https://<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png"

Odgovor 200 ukazuje da server nije ažuriran i radi na Windows operativnom sistemu. Odgovor 404 ukazuje da je server ažuriran ili ne radi na Windows operativnom sistemu.

Detalje o ranjivosti nećemo objaviti trenutno kako bismo korisnicima pružili dovoljno vremena za nadogradnju.

Otklanjanje ranjivosti

Preporučujemo nadogradnju na najnoviju verziju PaperCut NG/MF, verzija 22.1.3, kao što je navedeno u ovom izvještaju.

Ako nadogradnja nije moguća, ranjivost se može ublažiti konfiguriranjem liste odobrenih IP adresa uređaja koje su dopuštene za komunikaciju s PaperCut serverom. Pogledajte “IP Address Allow-listing” odjeljak u vodiču za najbolje sigurnosne prakse za PaperCut.

Timeline

  • 30 maj 2023: Horizon3 šalje početnu obavijest timu PaperCut-a
  • 31 maj 2023: PaperCut potvrđuje primitak obavijesti
  • 05 juni 2023: Horizon3 ažurira obavijest da uključi utjecaj izvršenja udaljenog koda
  • 08 juni 2023: PaperCut potvrđuje mogućnost potvrđivanja nalaza u obavijesti
  • Juni/juli 2023: Horizon3/PaperCut zajednički testiraju privremene verzije i koordiniraju obavijest
  • 24 juli 2023: Horizon3 rezervira CVE-2023-39143 kod prema MITRE
  • 25 juli 2023: PaperCut objavljuje zakrpu verzije 22.1.3
  • 04 avgust 2023: Ova obavijest

You May Also Like

More From Author

+ There are no comments

Add yours