Хакер #305. Многошаговые SQL-инъекции
В популярном решении для управления печатью, PaperCut, обнаружена критическая уязвимость, которая позволяет неаутентифицированным злоумышленникам удаленно выполнять код на уязвимых Windows-серверах.
Проблеме присвоен идентификатор CVE-2023-39143 (8,4 балла по шкале CVSS) и она связана с цепочкой из двух уязвимостей типа path traversal, выявленных исследователями компании Horizon3. Эти баги позволяют атакующим читать, удалять и загружать произвольные файлы в скомпрометированные системы, причем атаки не требуют взаимодействия с пользователем.
Хотя уязвимости влияют только на серверы с нестандартной конфигурацией (должен быть включен параметр, связанный с интеграцией внешних устройств) в своем отчете эксперты, Horizon3 предупреждают, что большинство серверов Windows PaperCut настроены именно таким образом.
«Этот параметр включен по умолчанию в определенных установках PaperCut, таких как PaperCut NG Commercial или PaperCut MF, — говорят исследователи. — Основываясь на образцах, которые мы собрали из реальных сред, подавляющее большинство установок PaperCut работают с включенной настройкой интеграции внешних устройств».
Чтобы проверить сервер на уязвимость перед CVE-2023-39143 можно использовать следующую команду: curl -w "%{http_code}" -k --path-as-is "https://<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png"
. Ответ 200 будет означать, что сервер нуждается в исправлении.
Админы, которые по каким-то причинам не могут сразу установить патчи для свежего бага, могут добавить в белый список только те IP-адреса, которым требуется доступ.
Данные поисковика Shodan свидетельствуют о том, что в настоящее время в сети доступны около 1800 серверов PaperCut, хотя не все уязвимы для атак CVE-2023-39143.
Стоит отметить, что ранее в этом году серверы PaperCut уже становись целями хакеров, которые эксплуатировали другую критическую RCE-уязвимость (CVE-2023–27350), а также уязвимость, связанную с раскрытием информации (CVE-2023–27351).
Тогда компания Microsoft связала эти атаки с активностью вымогателей Clop и LockBit, которые использовали уязвимости для кражи корпоративных данных из скомпрометированных систем.