内存安全周报第136期 | 黑客积极地利用PaperCut服务器中的关键RCE漏洞
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、黑客积极地利用PaperCut服务器中的关键RCE漏洞(4.19)
打印管理软件开发商PaperCut警示客户立即更新他们的软件,因为黑客正在积极利用缺陷来获得对脆弱服务器的访问。
PaperCut被大公司、国家组织和教育机构使用,而官方网站声称它为来自100多个国家的数亿人提供服务。
详细情况
PaperCut软件开发商更新了2023年3月的安全公告,警告客户有2个漏洞现在正被黑客积极利用。
漏洞详情:
·ZDI-CAN-18987 / PO-1216:未经授权的远程代码执行缺陷,影响所有操作系统平台上所有PaperCut MF或NG 8.0或更高版本,包括应用程序和站点服务器。(CVSS v3.1得分:9.8 - 严重)
·ZDI-CAN-19226 / PO-1219:未经授权的信息披露缺陷,影响所有操作系统平台上的应用服务器的PaperCut MF或NG 15.0或更高版本。(CVSS v3.1得分: 8.2 - 高)
给用户的警示
建议受影响版本的用户升级到PaperCut MF和PaperCut NG版本20.1.7、21.2.11和22.0.9及更高版本。
PaperCut无法缓解第一个缺陷,第二个缺陷可以通过在“选项>高级>安全>允许的站点服务器IP地址”下应用“允许列表”限制来缓解,并将其设置为仅允许网络上经过验证的站点服务器的IP地址。
PaperCut表示,无法100%确定服务器是否被破坏,但建议管理员采取以下步骤进行调查:
1.在PaperCut管理界面中的“日志”>“应用程序日志”中查找可疑活动。
2.特别要注意来自名为[设置向导]的用户的任何更新。
3.寻找正在创建的新(可疑)用户或其他被篡改的配置密钥。
4.如果您的应用程序服务器日志处于调试模式,请检查是否有运行在与服务器安装或升级不相关的时间提及SetupCompleted。服务器日志可以在[app path]/Server/logs/*.*中找到,其中Server.log通常是最新的日志文件。
需要强调的是,尽管上述内容可能揭示了恶意活动,但攻击者可能从日志中删除了其活动的痕迹。建议怀疑服务器受损的管理员进行备份,擦除应用程序服务器,并从安全的备份点重建所有内容。
参考链接
二、警惕这些容易疏忽的恶意行为
1、BumbleBee恶意软件
详细情况
针对企业的Bumblebee恶意软件通过Google Ads和SEO中毒进行分发,这些恶意软件推广了Zoom,Cisco AnyConnect,ChatGPT和Citrix Workspace等流行软件。
Bumblebee最早是 2022 年 4 月发现的恶意软件加载程序,被认为是由 Conti 团队开发的,用于替代 BazarLoader 后门,用于初始访问网络并进行勒索软件攻击。2022年9月,观察到一个野外版本的恶意软件加载程序具有一个更隐蔽的攻击链,该攻击链使用PowerSploit框架将反射DLL注入内存。
参考链接
2、Eval PHP插件
详细情况
攻击者正在使用一个过时的合法WordPress插件Eval PHP,通过注入隐蔽的后门来破坏网站。
Eval PHP允许网站管理员在WordPress网站的页面和帖子上嵌入PHP代码,然后在浏览器中打开页面时执行代码。该插件在过去十年中没有更新,通常被认为是废弃软件,但它仍然可以通过WordPress插件存储库获得。
参考链接
https://thehackernews.com/2023/03/apple-issues-urgent-security-update-for.html?&web_view=true
