PaperCut Fidye Yazılımı Saldırısı  

 

Daha önceden ve 2020nin başlarında uyarıldığı 2020 günümüzde hacker'lar, yaygın olarak güncellenmemiş veya eski sürümlü yazıcı sürücü dosyalarını kullanarak zafiyetlerinden faydalanarak altyapılarına sızmayı ve şirketlerden veya kullanıcılardan bilgi çalmayı artan bir şekilde kullanmaktadır.

Hacker'lar, özellikle eski veya güncellenmemiş sürücü dosyalarının zafiyetlerinden faydalanarak bilgi çalmak için bu tür saldırıları gerçekleştirebilirler. Yazıcılar genellikle ağlara ve bilgisayarlara bağlanır ve sürücüler, yazıcı ile işletim sistemi arasında yazılım arabirimleri olarak görev yapar. Eğer bu sürücülerin bilinen zafiyetleri varsa, hacker'lar bunları kullanarak izinsiz erişim elde edebilirler.

Bu tür saldırıların riskini azaltmak için, yazıcı sürücülerini düzenli olarak üreticinin güncellemelerini kontrol ederek güncel tutmak son derece önemlidir. Ayrıca, güçlü ağ güvenlik önlemleri, güvenlik duvarları ve sızma tespit sistemleri gibi uygulamalar izinsiz erişimi önlemeye ve hassas bilgileri korumaya yardımcı olabilir. Düzenli güvenlik denetimleri ve çalışanlara siber güvenlik için en iyi uygulamalar konusunda eğitim vermek de başarılı saldırıların olasılığını önemli ölçüde azaltabilir."

 

 

PaperCut zafiyeti, CVE-2023-27350 numaralı FBI raporlarında da anlatıldığı üzere, PaperCut MF ve PaperCut NG yazılımlarını etkileyerek saldırganlara kimlik doğrulamasını atlamalarına ve SYSTEM yetkileriyle keyfi kod yürütmelerine olanak tanır. Zafiyet, PaperCut tarafından Mart 2023'te duyurulmuş olup, yamasız sunucular aktif olarak sömürülmektedir. Başka bir zafiyet olan CVE-2023-27351, yetkisiz saldırganlara kullanıcı bilgilerine erişme imkanı sağlar. Aşağıda gösterilen şekilde bir fidye mesajı yazdırılırken kullanıcıdan fidye alınmaya çalışılıyor.

 

Bu zafiyetten yararlanan fidye yazılımı grupları ve devlet destekli siber casusluk tehdit aktörleri aktif olarak saldırılar düzenlemektedir. Bl00dy fidye yazılımı grubu, eğitim kurumlarını hedef alarak veri çalmak ve sistemleri şifrelemektedir. Microsoft, Lace Tempest grubunun bu zafiyeti kullanarak Clop fidye yazılımı dağıttığı saldırıları rapor etmiştir. İran devlet destekli tehdit aktörleri olan Mint Sandstorm ve Mango Sandstorm da operasyonlarında bu açığı kullanmaktadır.

Bu siber güvenlik tehdidini tespit etmek için, savunmasız bir PaperCut sunucusuna erişen ağ trafiğinin SetupCompleted sayfasının izlenmesi önerilmektedir. Belirli yapılandırma anahtarlarının veya yazdırma betiklerinin değiştirilmesi, bir ihlale işaret edebilir. DNS log dosyaları, son zamanlarda PaperCut saldırılarıyla ilişkilendirilen alan adları için aranmalıdır. PaperCut sunucusundan türetilen alt süreçlerin izlenmesi ve sunucu ayarlarının ve log dosyalarının analizi, ihlallerin tespitinde yardımcı olabilir.

Bu zafiyete karşı korunmak için, savunmasız PaperCut sunucularının yamalanması hayati önem taşır. Yamalama mümkün değilse, savunmasız sunucuların internet üzerinden erişilemez olduğundan emin olunmalıdır. Harici IP adreslerinden web yönetimi bağlantı noktalarına gelen giriş trafiği engellenmeli ve yalnızca doğrulanmış site sunucularına izin vermek için IP adresi kısıtlamaları uygulanmalıdır. Tüm sistemlerin ve yazılımların güncel ve yamalı olduğunu sağlamak da yaygın zafiyetlerden kaçınmak için önemlidir.

Microsoft Siber Sabotaj Gruplarının saldırılarını tweet ile haber verdi

PaperCut'ı 200'den fazla ülkede kullanan 70.000'den fazla kuruluş bulunmasıyla, diğer tehdit aktörleri bu zafiyeti sömürmeye ilgi duymuşlardır. CISA, ABD'de yayınlanan PaperCut sunucularının (%68'i, savunmasız ve savunmasız olmayan sunucuları içerir) Eğitim Tesisleri Alt Sektörüne ait olduğunu bildirmiştir. PaperCut'ın web sitesine göre, müşterileri arasında yerel yönetimler, hukuk, yaşam bilimleri, sağlık ve yükseköğretim de bulunmaktadır. Microsoft, 5 Mayıs 2023 tarihinde, iki İran devlet destekli siber casusluk tehdit aktörü olan Mint Sandstorm (aka Charming Kitten ve Phosphorus) ve Mango Sandstorm (aka Muddy Water, Static Kitten ve Mercury) 'un, genel halka açık kavram kanıtları yayınlandıktan sonra operasyonlarında hızla bu açığı kullandıklarını ve ilk erişimi elde ettiklerini tweetlerinde belirtmişlerdir.