複数のランサムウェアグループと国家支援を受けたサイバースパイ活動を行う脅威アクターが、印刷ソフトウェアツール「PaperCut MF」および「PaperCut NG」に影響を及ぼす脆弱性を悪用し、標的のシステムを侵害しています。連邦捜査局(FBI)とサイバーセキュリティ・インフラストラクチャセキュリティ庁(CIISA)は、この脆弱性(CVE-2023-27350)の詳細を記した共同報告書を発表しました。
FBIとCISAは、脆弱なPaperCutソフトウェアでコードを実行するための概念実証が2つ公開されていると述べています。1つ目は、印刷スクリプトインターフェースを用いてシェルコマンドを実行する方法です。2つ目は、ユーザー/グループ同期インターフェースを用いて、システム内で利用可能な正規のソフトウェアや機能を用いて悪意のあるアクションを実行するサイバー攻撃であるLiving-off-the-land攻撃を実行する方法です。FBIとCISAは、脅威アクターがリモートコード実行のための他の手法を開発する可能性があると述べています。
参照: Palo Alto Networks によると、従来のセキュリティ手法ではクラウド セキュリティには不十分である可能性があるとのことです。
サイバー犯罪者がどのようにこの脆弱性を狙っているか、誰が影響を受けるか、このセキュリティ脅威を検出して防御する方法など、追加の技術的詳細を提供します。
ジャンプ先:
- この PaperCut の脆弱性とは何でしょうか?
- ランサムウェアグループがこの脆弱性を積極的に悪用する方法
- マイクロソフトがサイバースパイ活動の脅威アクターについてツイート
- このサイバーセキュリティの脅威を検知する方法
- PaperCutの脆弱性の脅威から身を守る方法
この PaperCut の脆弱性とは何でしょうか?
新しい PaperCut の脆弱性 CVE-2023-27350 は、さまざまな PaperCut MF および PaperCut NG ソフトウェアに影響を及ぼし、攻撃者が認証をバイパスして SYSTEM 権限で任意のコードを実行できるようになります。
脆弱なPaperCutサーバー上のpc-app.exeファイルは、設定に応じてSYSTEM権限またはルートレベルの権限で実行され、コマンドラインの場合はcmd.exe、PowerShellスクリプトの場合はpowershell.exeなどの他のプロセスの実行に悪用される可能性があります。これらの子プロセスはpc-app.exeファイルの権限を利用するため、攻撃者はサーバー上で高い権限でコードを実行できます。
PaperCutは2023年3月にこの脆弱性を発表し、その後ウェブサイトを更新して、パッチ未適用のサーバーが実際に悪用されていることを示唆する証拠を入手したことを表明しました。同社ウェブサイト上部のバナーには、PaperCut NGおよびMFの全顧客に向けた緊急対応情報へのリンクが掲載されています。パッチは2023年3月から利用可能です。
PaperCut MFおよびNGソフトウェアに影響を与える別の脆弱性(CVE-2023-27351)により、認証されていない攻撃者がユーザー名、氏名、メールアドレス、勤務先情報、ユーザーに関連付けられたカード番号などの情報を取得できる可能性があります。PaperCutはこの脆弱性が実際に悪用されたという証拠は持っていませんが、Microsoftのツイートではこの脆弱性が悪用されたことについて言及していますが、詳細は明らかにされていません。
ランサムウェアグループがこの脆弱性を積極的に悪用する方法
FBIによると、Bl00dyランサムウェアグループは教育施設サブセクター全体の被害者のネットワークにアクセスし、これらの攻撃の一部はデータの窃取とシステムの暗号化につながりました。脅威グループは、影響を受けたシステムに暗号通貨での支払いを要求するメモを残しました(図A)。
図A
脅威アクターは、ソフトウェアの印刷インターフェースを介してPaperCutの脆弱性を悪用し、正規のリモート管理・メンテナンスソフトウェアをダウンロード・実行することで目的を達成しました。FBIは、DiceLoader、TrueBot、Cobalt Strikeビーコンなどのマルウェアのダウンロードと実行に関する情報も特定しましたが、これらの使用方法についてはまだ不明です。
Microsoft Threat Intelligenceは、2023年4月13日以降、PaperCutの脆弱性を悪用してClopランサムウェアを拡散する最近の攻撃についてツイートしました。この攻撃の背後にいるグループは、MicrosoftではLace Tempestとして知られており、過去にはGoAnywhereとRaspberry Robinを悪用してマルウェアを拡散していました。Microsoftはまた、同じ脆弱性を最初の侵入経路として利用したLockbitの展開についても報告しました。
マイクロソフトがサイバースパイ活動の脅威アクターについてツイート
200カ国以上で7万以上の組織がPaperCutを使用しているため、他の脅威アクターもこの脆弱性を悪用することに興味を持つようになりました。CISAの報告によると、米国で脆弱性のあるPaperCutサーバー(脆弱性のあるサーバーと脆弱性のないサーバーを含む)の68%は教育施設サブセクターに属しています。PaperCutのウェブサイトによると、同社は地方自治体、法務、ライフサイエンス、ヘルスケア、高等教育機関にも顧客を抱えています。
マイクロソフトは2023年5月5日に、イラン政府が支援する2つのサイバースパイ脅威アクター、Mint Sandstorm(別名Charming Kitten、Phosphorus)とMango Sandstorm(別名Muddy Water、Static Kitten、Mercury)が、概念実証が公開された後、すぐにこのエクスプロイトを攻撃活動に取り入れ、初期アクセスを実現したとツイートしました(図B)。
図B
このサイバーセキュリティの脅威を検知する方法
CISA は、このサイバーセキュリティの脅威を検出するためのいくつかの方法を提供しています。
まず、ITチームは、脆弱で無防備なPaperCutサーバーのSetupCompletedページへのアクセスを試みるネットワークトラフィックを監視する必要があります。CISAは、この検出を実現するためのProofpoint Emerging Threat Suricata Signatureを提供しています。PaperCutアプリケーションサーバーのログをデバッグモードを有効にすると、サーバーのインストールやアップグレードとは関係のない時間にSetupCompletedを含む行を特定するのに役立ちます。これは、侵害の兆候である可能性があります。
管理者ユーザーによる設定キー print.script.sandboxed または device.script.sandboxed の変更は、セキュリティ侵害の兆候となる可能性があり、慎重に確認する必要があります。管理者によるプリンターの印刷スクリプトの変更や、ユーザー/グループの同期設定の変更も、セキュリティ侵害の兆候となる可能性があります。
さらに、最近のPaperCutの脆弱性攻撃に関連するドメインをDNSログファイルで検索する必要があります。CISAは報告書の中でこれらのドメインのリストを提供しています。
システム監視において、PaperCutサーバーのpc-app.exeプロセスから生成される子プロセスは、特にcmd.exeやPowerShellなどのエクスプロイト後のツールを起動する場合、侵入が成功した可能性を示唆する可能性があるため、注意深く監視する必要があります。PaperCutサーバーの設定とログファイルを徹底的に分析し、侵入の可能性を探る必要があります。
PaperCutの脆弱性の脅威から身を守る方法
攻撃者が CVE-2023-27350 の脆弱性を悪用するのを防ぐために、脆弱な PaperCut サーバーにできるだけ早くパッチを適用する必要があります。
タイムリーなパッチ適用が不可能な場合は、脆弱なサーバーがインターネットからアクセスできないようにする必要があります。外部IPアドレスからWeb管理ポート(デフォルトでは9191と9192)へのすべての受信トラフィックをブロックする必要があります。
許可リストの制限を適用し、ネットワーク上の検証済みサイト サーバーの IP アドレスのみを許可するように設定する必要があります。
いつものように、一般的な脆弱性による侵害を回避するために、すべてのシステムとソフトウェアを最新の状態にし、パッチを適用する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
