CISAは、PaperCut NG/MFプリント管理ソフトウェアに存在する重大な脆弱性が、攻撃者によって悪用されており、クロスサイトリクエストフォージェリ(CSRF)攻撃でリモートコード実行を許す可能性があると警告しています。
このソフトウェア開発会社によると、世界中の70,000以上の組織で1億人以上のユーザーが同社製品を利用しています。
このセキュリティ脆弱性(CVE-2023-2533として追跡され、2023年6月に修正済み)は、攻撃者がセキュリティ設定を変更したり、任意のコードを実行したりすることを可能にします。標的が現在ログイン中の管理者である場合に悪用される可能性があり、通常は管理者をだまして細工された悪意のあるリンクをクリックさせる必要があります。
CISAは、これら進行中の攻撃に関する詳細はまだ共有していませんが、この脆弱性を既知の悪用脆弱性カタログに追加し、連邦民間行政機関(FCEB)に対し、2021年11月の拘束力のある運用指令(BOD)22-01に基づき、8月18日までにシステムをパッチ適用するよう3週間の猶予を与えています。
BOD 22-01は米国連邦機関を対象としていますが、サイバーセキュリティ機関は民間部門を含むすべての組織に対し、この積極的に悪用されているセキュリティバグの早急なパッチ適用を優先するよう推奨しています。
「この種の脆弱性は悪意あるサイバー攻撃者による攻撃ベクトルとして頻繁に利用され、連邦機関に重大なリスクをもたらします」とCISAは月曜日に警告しました。
非営利のセキュリティ組織Shadowserverは現在、オンラインで公開されているPaperCut MFおよびNGサーバーを1,100台以上追跡していますが、すべてがCVE-2023-2533の攻撃に対して脆弱というわけではありません。
PaperCutの脆弱性、ランサムウェア集団に悪用される
CISAはCVE-2023-2533がランサムウェア攻撃で標的にされている証拠は持っていませんが、PaperCutサーバーは2023年に、認証不要の重大なリモートコード実行(RCE)脆弱性(CVE–2023–27350)および高深刻度の情報漏洩脆弱性(CVE–2023–27351)を悪用され、ランサムウェア集団によって侵害されたことがあります。
2023年4月、MicrosoftはPaperCutサーバーを標的とした攻撃をLockBitおよびClopランサムウェア集団と関連付け、彼らが侵害したシステムへのアクセスを利用して企業データを窃取したと報告しました。
その約2週間後、Microsoftはイラン政府支援のハッキンググループ(MuddywaterおよびAPT35として追跡)も攻撃に加わったことを明らかにしました。
当時、同社は攻撃者がPaperCut印刷サーバーを通じて送信されたすべての文書を保存するために設計された「Print Archiving」機能を悪用したと説明しています。
CISAは2023年4月21日にCVE-2023–27350を積極的に悪用されている脆弱性カタログに追加し、米国連邦機関に対し2023年5月12日までにサーバーを保護するよう命じました。
1か月後、CISAとFBIは共同勧告を発表し、Bl00dyランサムウェア集団がCVE-2023–27350 RCE脆弱性を悪用して教育機関のネットワークへの初期アクセスを得ていることを警告しました。
クラウド検知&レスポンス入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を防ぎましょう。
この実践的で分かりやすいガイドで、クラウド検知とレスポンス(CDR)がセキュリティチームにもたらす優位性について学べます。