بهرهبرداری گروههای APT ایرانی از نقص بحرانی Papercut
اخبار داغ فناوری اطلاعات و امنیت شبکه
مایکروسافت نسبت به گروههای APT مرتبط با ایران که سرورهای مدیریت پرینت PaperCut MF/NG آسیبپذیر را هدف قرار میدهند، هشدار داده است.
مایکروسافت ادعا کرد که گروههای APT مرتبط با ایران را مشاهده نموده است که از نقص CVE-2023-27350 در حملات علیه سرورهای مدیریت پرینت PaperCut MF/NG سواستفاده میکنند.
نقص CVE-2023-27350 یک آسیبپذیری کنترل دسترسی نادرست PaperCut MF/NG یا Improper Access Control Vulnerability است. PaperCut MF/NG حاوی یک آسیبپذیری کنترل دسترسی نامناسب در کلاس SetupCompleted است که اجازه دور زدن احراز هویت و اجرای کد را در محتوای SYSTEM میدهد.
در ١٩ آوریل سال جاری میلادی، ارائهدهنده نرمافزار مدیریت چاپ PaperCut تایید کرد که از بهرهبرداری فعال از آسیبپذیری CVE-2023-27350 آگاه است.
این شرکت دو گزارش آسیبپذیری را از شرکت امنیت سایبری Trend Micro برای مشکلات امنیتی بحرانی در PaperCut MF/NG دریافت کرد.
اکنون مایکروسافت گروههای مرتبط با ایران شامل Mango Sandstorm (معروف به Mercury یا Muddywater) و Mint Sandstorm (معروف به Phosphorous یا APT35) را مشاهده کرده است که از نقص مذکور سواستفاده میکنند.
تیم امنیت اطلاعات مایکروسافت در توییتی گفت : "از آخرینباری که ما در Lace Tempest گزارش دادیم، مهاجمان بیشتری از CVE-2023-27350 پچنشده در نرمافزار مدیریت چاپ Papercut استفاده میکنند. مایکروسافت در حال حاضر شاهد سواستفاده از عوامل تهدید تحت حمایت دولت ایران، Mint Sandstorm (PHOSPHORUS) و Mango Sandstorm (MERCURY) از CVE-2023-27350 میباشد. "
کارشناسان مایکروسافت تاکید کردند که هر دو گروه APT مدت کوتاهی پس از انتشار POCهای عمومی برای CVE-2023-27350 شروع به بهرهبرداری از این نقص کردند. این حملات توانایی هر دو گروه را برای تطبیق سریع عملیات خود با افزودن اکسپلویتهای جدید POC به ابزار تهاجمی خود نشان میدهد.
محققان بر این باورند که فعالیت بهرهبرداری از PaperCut توسط گروه Mint Sandstorm فرصتطلبانه است، چرا که آنها مشاهده کردند که این گروه ایرانی، سازمانها را در بخشها و مناطق جغرافیایی مختلف هدف قرار میدهد.
تیم امنیت مایکروسافت افزود : "فعالیت بهرهبرداری PaperCut توسط Mint Sandstorm فرصتطلبانه به نظر میرسد و بر سازمانها در سراسر بخشها و مناطق جغرافیایی تاثیر میگذارد. "
مایکروسافت گزارش داد که فعالیت بهرهبرداری CVE-2023-27350 توسط دومین APT ایرانی، Mango Sandstorm، اندک است. هکرهای تحت حمایت دولت با استفاده از ابزارهایی از نفوذهای قبلی برای اتصال به زیرساخت C2 خود مشاهده شدند.
در این گزارش آمده است : "از آنجایی که عوامل تهدید بیشتری شروع به استفاده از این آسیبپذیری در حملات خود میکنند، از سازمانها خواسته شده است که بروزرسانیهای ارائهشده توسط PaperCut را برای کاهش سطح حمله خود در اولویت قرار دهند. "
این شرکت غول فناوری اطلاعات از سازمانها میخواهد که آسیبپذیری CVE-2023-27350 را برای جلوگیری از بهرهبرداری از آن توسط عوامل تهدید، ازجمله گروههای APT مرتبط با ایران، هر چه سریعتر برطرف کنند.
نرمافزار PaperCut MF و NG باید فورا به نسخههای 20.1.7، 21.2.11 و 22.0.9 و جدیدتر ارتقا یابد.
برچسب ها: print management server, Mango Sandstorm, CVE-2023-27350, SetupCompleted, آسیبپذیری کنترل دسترسی نادرست, Improper Access Control Vulnerability, PaperCut, PaperCut MF/NG, Mint Sandstorm, Phosphorous, MERCURY, MuddyWater, پچ, Iran, APT, Patch, Microsoft, ایران, آسیبپذیری, Vulnerability, APT35, تهدیدات سایبری, Cyber Security, مایکروسافت, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news