أصبح رمز استغلال الثغرة الأمنية في برنامج الطابعة متاحًا للجمهور يوم الاثنين في إصدار قد يؤدي إلى تفاقم تهديد هجمات البرامج الضارة التي كانت جارية بالفعل خلال الأيام الخمسة الماضية.
تكمن الثغرة في برنامج إدارة الطباعة المعروف باسم PaperCut ، والذي يقول موقع الشركة على الإنترنت إنه يضم أكثر من 100 مليون مستخدم من 70 ألف مؤسسة. عندما تم نشر هذا المنشور ، أظهر محرك البحث Shodan أن ما يقرب من 1700 حالة من البرنامج تم عرضها على الإنترنت.
يوم الأربعاء الماضي ، حذرت PaperCut من أن ثغرة خطيرة تم تصحيحها في البرنامج في مارس تتعرض لهجوم نشط ضد الأجهزة التي لم تقم بعد بتثبيت تحديث مارس. الثغرة الأمنية ، التي تم تتبعها على أنها CVE-2023–27350 ، تحمل تصنيف خطورة يبلغ 9.8 من أصل 10. وهي تسمح للمهاجم غير المصادق بتنفيذ تعليمات برمجية ضارة عن بُعد دون الحاجة إلى تسجيل الدخول أو توفير كلمة مرور. الثغرة الأمنية ذات الصلة ، التي تم تتبعها على أنها CVE-2023-27351 مع تصنيف خطورة 8.2 ، تسمح للمهاجمين غير المصادق عليهم باستخراج أسماء المستخدمين والأسماء الكاملة وعناوين البريد الإلكتروني والبيانات الأخرى التي قد تكون حساسة من خوادم غير مصححة.
بعد يومين من الكشف عن هجمات PaperCut ، أفادت شركة الأمن Huntress أنها وجدت جهات تهديدات تستغل CVE-2023-27350 لتثبيت قطعتين من برامج الإدارة عن بُعد – أحدهما معروف باسم Atera والآخر Syncro – على خوادم غير مصححة. وأظهرت الأدلة بعد ذلك أن الفاعل استخدم برنامج الإدارة عن بُعد لتثبيت برامج ضارة تعرف باسم Truebot. Truebot مرتبط بمجموعة تهديد تعرف باسم Silence ، والتي لها علاقات مع مجموعة برامج الفدية المعروفة باسم Clop. في السابق ، استخدم Clop Truebot في هجمات في البرية التي استغلت ثغرة خطيرة في البرنامج المعروف باسم GoAnywhere.
كتب باحثو Huntress في تقريرهم يوم الجمعة: “في حين أن الهدف النهائي للنشاط الحالي الذي يستفيد من برنامج PaperCut غير معروف ، فإن هذه الروابط (وإن كانت ظرفية إلى حد ما) لكيان معروف لبرامج الفدية مثيرة للقلق”. من المحتمل أن يتم استخدام الوصول المكتسب من خلال استغلال PaperCut كموطئ قدم يؤدي إلى متابعة الحركة داخل شبكة الضحايا ، وانتشار برامج الفدية في النهاية.
قدم Huntress وصفًا واسعًا لنقاط الضعف وكيفية استغلالها. ونشرت أيضًا مقطع الفيديو أدناه الذي يظهر ثغرة في العمل. ومع ذلك ، لم تصدر الشركة رمز الاستغلال.
يعمل الاستغلال عن طريق إضافة إدخالات ضارة إلى أحد البرامج النصية لطابعة القالب الموجودة افتراضيًا. من خلال تعطيل وضع الحماية للأمان ، يمكن للبرنامج الضار الحصول على وصول مباشر إلى وقت تشغيل Java ، ومن هناك ، تنفيذ التعليمات البرمجية على الخادم الرئيسي. أوضح Huntress: “كما هو مقصود ، تحتوي البرامج النصية فقط على وظائف تعمل كخطافات للتنفيذ المستقبلي ، ومع ذلك يتم تنفيذ النطاق العام فور الحفظ ، وبالتالي يمكن الاستفادة من تعديل بسيط لنص الطابعة لتحقيق تنفيذ الرمز عن بُعد”.
يوم الإثنين ، نشر باحثون من شركة Horizon3 الأمنية تحليلهم للثغرات الأمنية ، إلى جانب كود برهان استغلال ثغرة أكثر خطورة. على غرار استغلال PoC الذي وصفه Huntress ، فإنه يستخدم ثغرة تجاوز المصادقة للتلاعب بوظيفة البرمجة النصية المضمنة وتنفيذ التعليمات البرمجية.
يوم الجمعة ، ذكرت Huntress أن هناك ما يقرب من 1000 جهاز يعمل بنظام Windows مثبت عليها PaperCut في بيئات العملاء التي تحميها. ومن بين هؤلاء ، بقي ما يقرب من 900 شخص غير مصاب. من بين أجهزة macOS الثلاثة التي تمت مراقبتها ، تم تصحيح جهاز واحد فقط. بافتراض أن الأرقام تمثل قاعدة التثبيت الأكبر لـ PaperCut ، فإن بيانات Huntress تشير إلى أن آلاف الخوادم لا تزال تحت تهديد الاستغلال. كما ذكرنا سابقًا ، من السهل العثور على ما يقرب من 1700 خادم معرضين للإنترنت. قد يتمكن التجسس الإضافي من العثور على المزيد.
يجب على أي مؤسسة تستخدم PaperCut التأكد من أنها تستخدم إصدارات 20.1.7 و 21.2.11 و 22.0.9 من PaperCut MF و NG. يوفر PaperCut و Huntress أيضًا حلولاً للمؤسسات التي لا تستطيع التحديث على الفور. يوفر Huntress و Horizon3 أيضًا مؤشرات يمكن لمستخدمي PaperCut التحقق منها لتحديد ما إذا كانوا قد تعرضوا لعمليات استغلال.