В сфере корпоративной печати и управления документами назревает серьёзный кризис безопасности. Эксперты обнаружили две критические уязвимости в популярном программном обеспечении для управления печатью PaperCut NG и MF, которые уже активно эксплуатируются в реальных атаках. Эти недостатки позволяют удалённому злоумышленнику полностью обойти механизмы проверки подлинности и получить контроль над сервером с максимальными привилегиями. Учитывая повсеместное использование данных продуктов в бизнес-среде, образовательных учреждениях и государственных организациях, масштаб потенциальной угрозы трудно переоценить.
Детали уязвимостей
Первая уязвимость, получившая идентификатор CVE-2023-27350, заключается в некорректном контроле доступа в классе SetupCompleted. Её критический рейтинг CVSS 3.0 составляет 9.8 баллов из 10, что автоматически относит её к числу наиболее опасных. Суть проблемы в том, что атакующий, не проходя аутентификацию, может воспользоваться этой ошибкой для выполнения произвольного кода в контексте учётной записи SYSTEM. Это предоставляет ему полный и ничем не ограниченный доступ к целевой системе. Вторая уязвимость, CVE-2023-27351, с рейтингом 8.2 балла, также позволяет обойти проверку подлинности, но уже из-за некорректной реализации алгоритма аутентификации в классе SecurityRequestFilter. Именно эта уязвимость, по данным аналитиков, уже используется киберпреступниками в активных атаках, что повышает её актуальность и уровень риска.
Под угрозой находятся тысячи организаций по всему миру. Продукты PaperCut NG и MF версий 8.0 и 15.0 соответственно, а также все более поздние сборки вплоть до определённых патчей, содержат эти опасные недостатки. Если конкретизировать, то в зоне риска находятся версии от 8.0.0 до 22.0.8 для CVE-2023-27350 и от 15.0.0 до 22.0.8 для CVE-2023-27351. Это означает, что подавляющее большинство текущих установок, не обновлённых в последние месяцы, являются уязвимыми. Такое широкое распространение делает эти системы привлекательной мишенью для группировок, занимающихся распространением программ-вымогателей или крадой конфиденциальных данных.
Технический анализ инцидента показывает классический сценарий эксплуатации цепочки уязвимостей. Злоумышленник, используя CVE-2023-27351 для обхода экрана входа в систему, получает первоначальный доступ к веб-интерфейсу администрирования PaperCut. Однако для полного контроля над сервером этого недостаточно. Здесь в игру вступает CVE-2023-27350, которая позволяет эскалировать привилегии и выполнить произвольную вредоносную нагрузку (payload) с правами системного администратора. Подобная комбинация - сначала обход аутентификации, а затем выполнение кода - является излюбленным приёмом современных APT-групп (Advanced Persistent Threat, угрозы высокой сложности и скрытности). После закрепления в системе (persistence) атакующие могут беспрепятственно перемещаться по корпоративной сети, красть данные или готовить почву для масштабной атаки.
Последствия успешной эксплуатации этих уязвимостей могут быть катастрофическими для организации. Поскольку сервер PaperCut часто имеет доступ к корпоративной сети и принтерам, он становится идеальным плацдармом для дальнейшего вторжения. Злоумышленники могут перехватывать все документы, отправляемые на печать, что чревато утечкой коммерческой тайны, персональных данных или финансовой отчётности. Кроме того, получив права SYSTEM, они могут установить программы-вымогатели, которые зашифруют не только данные на самом сервере печати, но и на других подключённых ресурсах, вызвав полную остановку бизнес-процессов. Финансовый ущерб в таком случае складывается из затрат на восстановление систем, выплаты выкупа, штрафов регуляторов и репутационных потерь.
Безопасными считаются версии 20.1.7, 21.2.11, а также 22.0.9 и все последующие. Между тем, просто установить патч - часто недостаточно. Специалистам по информационной безопасности необходимо исходить из презумпции компрометации. Это означает, что если система долгое время оставалась уязвимой, особенно в период активной эксплуатации CVE-2023-27351, её уже могли взломать. Поэтому обязательным шагом после обновления должен стать тщательный аудит журналов событий на предмет признаков несанкционированного доступа. Следует проверить логи веб-доступа, журналы аутентификации в самой системе PaperCut, а также записи в системных журналах Windows или Linux на предмет подозрительной активности.
В качестве дополнительных мер защиты эксперты рекомендуют, по возможности, ограничить сетевой доступ к административному веб-интерфейсу PaperCut только с доверенных IP-адресов или через VPN. Также крайне важно обеспечить сегментацию сети, чтобы даже в случае компрометации сервера печати злоумышленник не смог беспрепятственно перемещаться к другим критически важным активам, таким как серверы баз данных или доменные контроллеры. Регулярный мониторинг событий безопасности с помощью SIEM-системы (класса программных продуктов для управления событиями информационной безопасности и корреляции данных) поможет своевременно обнаружить аномальные попытки доступа или выполнение нехарактерных команд. В конечном итоге, история с уязвимостями в PaperCut лишний раз подчёркивает важность своевременного управления обновлениями для всех без исключения программных компонентов корпоративной инфраструктуры, даже тех, которые, на первый взгляд, не кажутся очевидными точками входа для атакующих.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2023-27350
- https://www.cve.org/CVERecord?id=CVE-2023-27351
- https://www.papercut.com/kb/Main/PO-1216-and-PO-1219
- https://www.cisa.gov/news-events/alerts/2026/04/20/cisa-adds-eight-known-exploited-vulnerabilities-catalog
