30/07/25
.png?width=415&height=121&name=images%20(74).png)
Ошибка, получившая номер CVE-2023-2533 , позволяет злоумышленникам выполнять произвольный код на сервере, если администратор системы откроет специально сформированную ссылку. Такая атака возможна в условиях текущей сессии администратора и при наличии уязвимости к подделке межсайтовых запросов (CSRF), пишет Securitylab.
PaperCut утверждает, что его продукты установлены в более чем 70 000 организациях по всему миру, включая образовательные учреждения, корпорации и госструктуры, а общее число пользователей превышает 100 миллионов. Несмотря на то, что баг был устранён ещё в июне 2023 года, CISA указывает, что уязвимость до сих пор активно используется, и требует от федеральных агентств США устранить её до 18 августа в рамках директивы BOD 22-01. Эта директива обязывает все гражданские учреждения федерального уровня в кратчайшие сроки закрывать известные вектора атак.
Хотя точных деталей о текущих злоупотреблениях пока не раскрыто, организация Shadowserver насчитывает более 1100 открытых серверов PaperCut NG и MF, находящихся в интернете. При этом не все из них подвержены CVE-2023-2533, но наличие даже одного уязвимого экземпляра в критической инфраструктуре может стать причиной серьёзных последствий.
PaperCut уже не в первый раз оказывается в центре внимания из-за уязвимостей. В первой половине 2023 года сервера этой платформы стали целью для вымогательских группировок, включая LockBit и Clop. Они использовали уязвимость CVE-2023-27350, допускавшую неаутентифицированное удалённое выполнение кода, а также ошибку CVE-2023-27351, связанную с утечкой конфиденциальной информации.
Microsoft подтвердила причастность этих группировок, а позже сообщила, что к атакам присоединились и иранские хакеры, связанные с APT-группами MuddyWater и APT35. В ходе атак преступники получали доступ к функции «архивирования печати», которая позволяет сохранять копии всех отправленных на печать документов, что открывало путь к компрометации чувствительной корпоративной информации.
CISA добавила уязвимость CVE-2023-27350 в свой реестр рабочих уязвимостей ещё 21 апреля 2023 года и дала три недели на обновление систем, после чего, совместно с ФБР, выпустила отдельное предупреждение. Оно касалось атак Bl00dy Ransomware, нацеленных на образовательные учреждения, где PaperCut особенно распространён.
На фоне истории массовых компрометаций с участием этого программного обеспечения CISA призывает не только федеральные учреждения, но и частные компании не откладывать обновление систем.
