CVE-2023-39143 PaperCut Dosya Yükleme RCE Güvenlik Açığı Nedir ?
CVE-2023-39143, kimlik doğrulaması yapılmamış saldırganlara Potansiyel olarak PaperCut MF/NG uygulama sunucusuna keyfi dosyaları okuma, silme ve yükleme yeteneği tanır, belirli yapılandırmalarda uzaktan kod yürütme açığıdır.
Özellikle, bu zafiyet Windows üzerinde çalışan PaperCut sunucularını etkiler. Harici cihaz entegrasyon ayarı etkin olduğunda, dosya yükleme yoluyla uzaktan kod yürütme mümkün hale gelir. Bu ayar, PaperCut NG Ticari sürümü veya PaperCut MF gibi belirli kurulumlarda varsayılan olarak açıktır.
Horizon3'ten gerçek dünya ortamlarından topladığımız örnek verilere dayanarak, PaperCut kurulumlarının büyük çoğunluğunun Windows üzerinde harici cihaz entegrasyon ayarının açık olduğunu tahmin ediyoruz.
Sömürülebilirlik
PaperCut, tehdit aktörlerinin dikkatini çekti. Bu yılın başlarında, tehdit aktörleri CVE-2023-27350, daha önce açıklanan kimlik doğrulaması yapılmamış uzaktan kod yürütme zafiyeti olan PaperCut sunucularını hedef alan kampanyalar başlattı.
CVE-2023-27350'ye kıyasla, CVE-2023-39143 saldırganların önceden herhangi bir ayrıcalığa sahip olmalarını gerektirmez ve herhangi bir kullanıcı etkileşimi gerekmez.
CVE-2023-27350'ye karşı, CVE-2023-39143 bir sunucuyu tehlikeye atmak için bir araya getirilmesi gereken birden fazla sorunu içeren daha karmaşık bir şekilde sömürülebilir bir durumdur. Bu, "tek vuruş" bir RCE zafiyeti değildir.
Tespit
Aşağıdaki komut, bir PaperCut sunucusunun yamasız ve Windows üzerinde çalışıp çalışmadığını kontrol eder.
Kod:
curl -w "%{http_code}" -k --path-as-is "https://<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png"
Bir 200 yanıtı, sunucunun yamasız olduğunu ve Windows üzerinde çalıştığını gösterir. Bir 404 yanıtı, sunucunun yamalandığını veya Windows üzerinde çalışmadığını gösterir.
Çözüm
Şu anki yazımız itibariyle en son PaperCut NG/MF sürümü olan 22.1.3'e yükseltme yapmanızı öneririz.
Eğer yükseltme mümkün değilse, bu zafiyeti yönetmek için PaperCut sunucu ile iletişim kurmasına izin verilen cihaz IP adreslerinin bir izin listesi yapılandırarak önlem almak mümkündür. PaperCut güvenlik en iyi uygulamalar rehberinin "IP Adresi İzin Listesi" bölümüne başvurun.
Kaynaklarım :
PaperCut July 2023 Security Bulletin
Secure Your PaperCut NG/NF Server
CISA Advisory
CVE-2023-39143
PaperCut July 2023 Security Bulletin
Secure Your PaperCut NG/NF Server
CISA Advisory
CVE-2023-39143