Seit Ende April 2023 ist bekannt, dass es eine kritische Schwachstelle in der Druck-Management-Lösung Papercut MF/NG gibt. Angreifer können über die Schwachstelle Schadcode auf entsprechenden Systemen ausführen. Nun gibt es Hinweise, dass die Schwachstelle von verschiedenen Akteuren aktiv ausgenutzt wird. Wer sich bisher nicht um die Absicherung gekümmert hat, sollte dies nachholen.
Anzeige
Ich hatte zum 24. April 2023 im Blog-Beitrag Cybersicherheit: SSI-Schäfer, Post- und DHL-Portal offline, Greenbone mit Problemen, etc. erstmals über diesen Sachverhalt berichtet. Es gibt gleich zwei kritische Schwachstellen in ungepatchten Papercut-Servern:
- Remote Code Execution vulnerability (CVE-2023–27350 / ZDI-CAN-18987 / ZDI-23–233)
- User account data vulnerability (CVE-2023–27351 / ZDI-CAN-19226 / ZDI-23–232)
Von Papercut gibt es seit März 2023 den Sicherheitshinweise URGENT | PaperCut MF/NG vulnerability bulletin (March 2023), der letztmalig am 5. Mai 2023 aktualisiert wurde. Hintergrund ist, dass diese Schwachstellen inzwischen in freier Wildbahn durch diverse Gruppen ausgenutzt werden und Sicherheitsforscher eine neue Schwachstelle gefunden haben. Papercut hat längst Sicherheitsupdates bereitgestellt.
Trend Micro wies Anfang Mai 2023 in obigem Tweet auf diesen Sachverhalt hin und hat den Beitrag Update Now: PaperCut Vulnerability CVE-2023-27350 Under Active Exploitation dazu veröffentlich, der neue Erkenntnisse beinhaltet. Auch Microsoft hat die Tage in einer Reihe Tweets darauf hingewiesen, dass weitere Akteure die ungepatchte Sicherheitslücke CVE-2023-27350 in der Druckverwaltungssoftware Papercut ausnutzen.
So wurde beobachtet, dass die vom iranischen Staat gesponserten Bedrohungsakteure Mint Sandstorm (PHOSPHORUS) und Mango Sandstorm (MERCURY) CVE-2023-27350 für Angriffe verwenden. Details sind diesem Microsoft-Dokument zu entnehmen. Inzwischen sind Sicherheitsforscher auf einen Exploit für die PaperCut-Schwachstelle gestoßen, mit dem Erkennung umgangen werden kann.
Anzeige
Anzeige
