VNG Cloud Logo

CVE-2023-27350 PaperCut Authentication Bypass Vulnerabilities lead to Remote Code Execution

Severity: Critical

CVSSv3 Score: 9.8

Vector:  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Mô tả:

PaperCut là một công ty phần mềm cung cấp giải pháp quản lý in ấn và tính toán chi phí in ấn cho doanh nghiệp. Phần mềm của họ được thiết kế để giúp các tổ chức theo dõi và quản lý các hoạt động in ấn, giảm thiểu lãng phí và kiểm soát chi phí in ấn.

Ngày 10 tháng 1 năm 2023, PaperCut nhận được security report thông báo tìm thấy 2 lỗ hổng bảo mật nghiêm trọng trên sản phẩm PaperCut từ công ty bảo mật Trend Micro:

  • Remote Code Execution vulnerability (CVE-2023–27350 / ZDI-CAN-18987)
  • User account data vulnerability (CVE-2023–27351 / ZDI-CAN-19226)

Cả hai lỗ hổng đều cho phép kẻ tấn công từ xa truy cập trái phép vào hệ thống PaperCut NG mà không cần login xác thực.  

Chi tiết hơn, lỗ hổng CVE-2023–27351 cho phép attacker truy cập thông tin về người dùng trong PaperCut MF/NG, bao gồm tên, địa chỉ email, thông tin văn phòng/phòng ban và số thẻ liên quan đến người dùng. Ngoài ra attacker cũng có thể thu thập mật khẩu băm của các người dùng được tạo bởi PaperCut (internal PaperCut-created users).

Nghiêm trọng hơn, lỗ hổng CVE-2023–27350 nằm trong class SetupCompleted trong một file JAR và khi tiếp tục khai thác có thể cho phép tin tặc thực thi mã độc từ xa dưới ngữ cảnh của user SYSTEM.

Ngày 8 tháng 3, phía PaperCut đã đưa ra phiên bản vá lỗi cho các sản phẩm bị ảnh hưởng.

Hiện các cuộc tấn công khai thác các CVE-2023–27350, CVE-2023–27351 đã và đang diễn ra, PaperCut ghi nhận về trường hợp khách hàng bị tấn công sớm nhất từ ngày 13 tháng 4.

Affected versions:

Ngoại trừ các phiên bản đã vá lỗi, PaperCut MF or NG phiên bản từ 8.0 trở lên, trên tất cả các nền tảng hệ điều hành đều bị ảnh hưởng.

Bao gồm các versions:

  • Từ >= 8.0.0 tới <= 19.2.7
  • Từ >= 20.0.0 tới <= 20.1.6  
  • Từ >= 21.0.0 tới <= 21.2.10
  • Từ >= 22.0.0 tới <= 22.0.8  

Unaffected versions:

Các phiên bản sau đã được vá lỗi và không bị ảnh hưởng:

  • version 20.1.7
  • version 21.2.11
  • version 22.0.9
  • version 22.0.10

Các thành phần của PaperCut bị ảnh hưởng:

  • Application Servers  
  • Site Servers  
  • Các thành phần của PaperCut không bị ảnh hưởng:
  • PaperCut MF/NG secondary servers (Print Providers).
  • PaperCut MF/NG Direct Print Monitors (Print Providers).
  • PaperCut MF MFD Embedded Software.
  • PaperCut Hive.
  • PaperCut Pocket.
  • Print Deploy.
  • Mobility Print.
  • PaperCut User Client software.
  • PaperCut Multiverse.
  • Print Logger.

Cách khắc phục:

Các hệ thống sử dụng PaperCut đang bị ảnh hưởng cần phải nâng cấp (upgrade) Application Servers và Site Servers theo hướng dẫn của hãng tại: https://www.papercut.com/kb/Main/Upgrading#application-server-upgrade và  

https://www.papercut.com/kb/Main/Upgrading#site-server-upgrade .

Admin không cần thiết phải cập nhật Secondary Servers (Print Providers / Direct Print Monitors).

Nếu PaperCut đang chạy ở ứng dụng phiên bản cũ và không thể cập nhật security patch, cần phải hạn chế truy cập tới servers:

Block tất cả inbound traffic từ external IPs tới web management port (mặc định là port 9191 và 9192) 
Thiết lập phần hạn chế truy cập theo IP “Allow list” trong mục Options > Advanced > Security > Allowed site server IP addresses, để chỉ cho phép các địa chỉ IP Site Servers truy cập. 


Tham khảo:

https://www.papercut.com/kb/Main/PO-1216-and-PO-1219#faqs 
https://github.com/horizon3ai/CVE-2023-27350  
https://www.horizon3.ai/papercut-cve-2023-27350-deep-dive-and-indicators-of-compromise/ 
https://nvd.nist.gov/vuln/detail/CVE-2023-27350