Основы Интернет - технологий.

В популярном решении для управления печатью, PaperCut, обнаружена критическая уязвимость, которая позволяет неаутентифицированным злоумышленникам удаленно выполнять код на уязвимых Windows-серверах.

Проблеме присвоен идентификатор CVE-2023-39143 (8,4 балла по шкале CVSS) и она связана с цепочкой из двух уязвимостей типа path traversal, выявленных исследователями компании Horizon3. Эти баги позволяют атакующим читать, удалять и загружать произвольные файлы в скомпрометированные системы, причем атаки не требуют взаимодействия с пользователем.

Хотя уязвимости влияют только на серверы с нестандартной конфигурацией (должен быть включен параметр, связанный с интеграцией внешних устройств) в своем отчете эксперты, Horizon3 предупреждают, что большинство серверов Windows PaperCut настроены именно таким образом.

Чтобы проверить сервер на уязвимость перед CVE-2023-39143 можно использовать следующую команду: curl -w "%{http_code}" -k --path-as-is "https://:/custom-report-example/......deploymentharpiconshome-app.png". Ответ 200 будет означать, что сервер нуждается в исправлении.

Админы, которые по каким-то причинам не могут сразу установить патчи для свежего бага, могут добавить в белый список только те IP-адреса, которым требуется доступ.

Данные поисковика Shodan свидетельствуют о том, что в настоящее время в сети доступны около 1800 серверов PaperCut, хотя не все уязвимы для атак CVE-2023-39143.

Стоит отметить, что ранее в этом году серверы PaperCut уже становись целями хакеров, которые эксплуатировали другую критическую RCE-уязвимость (CVE-2023–27350), а также уязвимость, связанную с раскрытием информации (CVE-2023–27351).

Тогда компания Microsoft связала эти атаки с активностью вымогателей Clop и LockBit, которые использовали уязвимости для кражи корпоративных данных из скомпрометированных систем.