Ransomware-Gruppen nutzen Sicherheitslücken in PaperCut aus
Microsoft hat eine Warnung vor zwei Cyberkriminellen herausgegeben, die aggressiv Schwachstellen in PaperCut, einem beliebten Druckverwaltungsprogramm, ausnutzen. Dabei handelt es sich um eine russischsprachige Clop-Ransomware-as-a-Service-Gang und die LockBit-Cybercrime-Gang. Lace Tempest, auch bekannt als FIN11.
Nach Berichten über verdächtige Aktivitäten, bei denen Fehler ausgenutzt wurden, die im März gepatcht wurden, riet PaperCut seinen Kunden Anfang des Monats, ihre Software zu aktualisieren. Nach Angaben des Unternehmens gab es am 14. April den ersten Hinweis darauf, dass Hacker eine Schwachstelle im PaperCut-Anwendungsserver (CVE-2023-27350) zur Ausführung von Remotecode ausnutzen. Microsoft hingegen behauptete, Lace Tempest habe die PaperCut-Schwachstelle bereits am 13. April für seine Angriffe genutzt.
Nach Angaben von Huntress, einem Unternehmen für Managed Detection and Response, entdeckte es einen Hacker, der versuchte, einen Monero-Krypto-Miner mit demselben Problem einzusetzen. Das Unternehmen hat auch die Sicherheitslücke CVE-2023-27351 behoben, die es einem nicht authentifizierten Angreifer ermöglichte, Informationen über einen in der Software des Unternehmens enthaltenen Benutzer abzurufen, darunter Benutzernamen, vollständige Namen, E-Mail-Adressen und gehashte Passwörter für von PaperCut erstellte Benutzer.
PaperCut arbeitet hart daran, dass alle Kunden die Bedeutung der beiden im letzten Monat geschlossenen Sicherheitslücken verstehen. Das Unternehmen hat auf seiner Haupt-Website ein grün gestreiftes Schild mit der Aufschrift "Dringende Sicherheitshinweise für alle NG/MF-Kunden" eingefügt. PaperCut hat außerdem seine Unterlagen überprüft und arbeitet daran, die möglicherweise gefährdeten Kunden zu erreichen.
PaperCut teilte mit, dass es erstmals am 17. April über einen ungepatchten Serverangriff informiert wurde und dass es hart daran arbeitet, eine Liste der ungepatchten Server zu erstellen, die im öffentlichen Internet verfügbar sind. Dennoch ist das Unternehmen nicht in der Lage, interne Netzwerke auf ungepatchte Systeme zu überprüfen, die nicht online zugänglich sind.
Zu den Quellen für diesen Artikel gehört ein Artikel in DataBreachToday.