Le développeur de logiciels de gestion d’impression PaperCut avertit les clients de mettre à jour leur logiciel immédiatement, car les pirates exploitent activement les failles pour accéder aux serveurs vulnérables.
PaperCut rend le logiciel de gestion d’impression compatible avec toutes les grandes marques et plateformes. Il est utilisé par de grandes entreprises, des organisations d’État et des instituts d’enseignement, tandis que le site Web officiel affirme qu’il dessert des centaines de millions de personnes dans plus de 100 pays.
La société affirme avoir reçu deux rapports de l’expert en cybersécurité Trend Micro le 10 janvier 2023, l’informant de deux failles de gravité élevée et critique affectant PaperCut MF/NG.
Les deux défauts sont :
- ZDI-CAN-18987 / PO-1216 : Faille d’exécution de code à distance non authentifiée affectant toutes les versions 8.0 ou ultérieures de PaperCut MF ou NG sur toutes les plateformes d’OS, pour les serveurs d’application et de site. (Note CVSS v3.1 : 9,8 – critique)
- ZDI-CAN-19226 / PO-1219 : Faille de divulgation d’informations non authentifiées affectant toutes les versions 15.0 ou ultérieures de PaperCut MF ou NG sur toutes les plates-formes d’OS pour les serveurs d’applications. (Score CVSS v3.1 : 8,2 – élevé)
Aujourd’hui, le développeur de logiciels a mis à jour son bulletin de sécurité de mars 2023 pour avertir les clients que les vulnérabilités sont désormais activement exploitées par les pirates.
« Au 18 avril 2023, nous avons des preuves suggérant que des serveurs non corrigés sont exploités dans la nature (en particulier ZDI-CAN-18987 / PO-1216) », lit-on dans l’avis.
« Par mesure de précaution, nous ne sommes pas en mesure d’en révéler trop sur ces vulnérabilités. »
Trend Micro indique qu’il divulguera plus d’informations sur les failles le 10 mai 2023, laissant aux organisations concernées suffisamment de temps pour appliquer les mises à jour de sécurité.
Il est recommandé aux utilisateurs des versions concernées de mettre à niveau vers PaperCut MF et PaperCut NG versions 20.1.7, 21.2.11 et 22.0.9 et versions ultérieures. Pour plus d’instructions sur la mise à niveau des produits, consultez ce guide.
Les versions antérieures à 19 ont atteint leur « fin de vie » et ne sont plus prises en charge, donc PaperCut n’offrira pas de mises à jour de sécurité pour ces versions. PaperCut recommande aux entreprises d’acheter une licence mise à jour si elles utilisent une version plus ancienne non prise en charge.
PaperCut n’a aucune atténuation pour le premier défaut, tandis que le second peut être atténué en appliquant les restrictions « Liste autorisée » sous « Options> Avancé> Sécurité> Adresses IP du serveur de site autorisées » et en le définissant uniquement pour autoriser les adresses IP des serveurs de site vérifiés sur votre réseau.
Rechercher des serveurs compromis
PaperCut indique qu’il n’y a aucun moyen de déterminer avec une certitude à 100 % si un serveur a été piraté, mais recommande aux administrateurs de suivre les étapes suivantes pour enquêter :
- Recherchez les activités suspectes dans Journaux > Journal des applications, dans l’interface d’administration de PaperCut.
- Gardez un œil, en particulier, sur les mises à jour d’un utilisateur appelé [assistant de configuration].
- Recherchez de nouveaux utilisateurs (suspects) en cours de création ou d’autres clés de configuration en cours de falsification.
- Si les journaux de votre serveur Application Server sont en mode débogage, vérifiez s’il existe des lignes mentionnant SetupCompleted à un moment sans corrélation avec l’installation ou la mise à niveau du serveur. Les journaux du serveur peuvent être trouvés, par ex. dans [app-path]/server/logs/. où server.log est normalement le fichier journal le plus récent.
Il est essentiel de souligner que même si ce qui précède peut révéler une activité malveillante, il est possible que les attaquants aient supprimé les traces de leurs activités des journaux.
Par conséquent, les administrateurs qui soupçonnent que leurs serveurs ont été compromis sont invités à effectuer des sauvegardes, à effacer le serveur d’applications et à tout reconstruire à partir d’un point de sauvegarde sûr.