CISA’dan Önemli Uyarı: PaperCut Güvenlik Açığı
CISA, yani Siber Güvenlik ve Altyapı Güvenliği Ajansı, PaperCut NG/MF yazılımında yüksek seviyeli bir güvenlik açığının kötü niyetli aktörler tarafından istismar edildiğini duyurdu. Bu güvenlik açığı, saldırganların uzaktan kod yürütme (remote code execution) gerçekleştirmesine olanak tanıyor ve özellikle cross-site request forgery (CSRF) saldırılarıyla ilişkilendiriliyor.
PaperCut, dünya genelinde 70,000’den fazla kuruluş tarafından kullanılan ve 100 milyondan fazla kullanıcıya sahip bir yazılım geliştiricisidir. Ancak, son güvenlik açığı, kullanıcıların ve özellikle yöneticilerin güvenliğini tehdit eden ciddi bir sorun haline gelmiş durumda.
CVE-2023-2533: Yüksek Şiddetteki Güvenlik Açığı
Söz konusu güvenlik açığı, CVE-2023-2533 olarak takip edilmektedir ve Haziran 2023’te yamanmıştır. Bu güvenlik açığı, saldırganların bir yöneticinin mevcut giriş oturumunu kullanarak güvenlik ayarlarını değiştirmesine veya keyfi kod çalıştırmasına olanak tanımaktadır. Başarılı bir saldırı genellikle, yöneticiyi kötü niyetle hazırlanmış bir bağlantıya tıklamaya ikna etmeyi gerektiriyor.
CISA, bu devam eden saldırılarla ilgili henüz detay paylaşmamış olsa da, bu güvenlik açığını Bilinmiş İstismar Edilen Güvenlik Açıkları Kataloğu‘na eklemiştir. Bu durum, federal devlet ajanslarının sistemlerini 18 Ağustos’a kadar yaması gerektiğini belirtmektedir. Federal Ajanslar için geçerli olan bu talimat, Kasım 2021‘de yayınlanan Binding Operational Directive (BOD) 22-01 kapsamında yer almaktadır.
Tüm Kuruluşların Dikkatine!
BOD 22-01’in, ABD federal ajanslarına odaklanmasına rağmen, CISA tüm kuruluşları, özel sektör dâhil olmak üzere, bu aktif olarak istismar edilen güvenlik açığını bir an önce yamaya teşvik etmektedir. CISA, “Bu tür güvenlik açıkları kötü niyetli siber aktörler tarafından sıkça kullanılan saldırı vektörleridir ve federal işletmelere önemli riskler taşımaktadır” diye uyardı.
PaperCut Sunucuları ve Ransomware Tehditleri
CISA, CVE-2023-2533’ün ransomware saldırılarında hedef alındığına dair bir kanıt olmadığını belirtse de, PaperCut sunucularının daha önce ransomware çeteleri tarafından ele geçirildiği bilinmektedir. 2023 yılı içerisinde, PaperCut sunucularında CVE–2023–27350 adlı kritik bir güvenlik açığı kullanılarak saldırılar gerçekleştirilmiştir. Bu saldırılar, Microsoft tarafından LockBit ve Clop ransomware çetelerine bağlanmıştır. Bu çeteler, ele geçirdikleri sistemler üzerinden kurumsal verileri çalmışlardır.
Nisan 2023’te Microsoft, İran devlet destekli siber saldırı grupları olan Muddywater ve APT35‘in de bu saldırılara katıldığını açıklamıştır. O dönemde, tehdit aktörlerinin, PaperCut yazıcı sunucuları üzerinden gönderilen tüm belgeleri kaydetmek için tasarlanmış olan ‘Print Archiving’ özelliğini istismar ettikleri belirtilmiştir.
CISA, CVE-2023–27350’yi 21 Nisan 2023’te aktif olarak istismar edilen güvenlik açıkları kataloğuna eklemiş ve ABD federal ajanslarını sunucularını 12 Mayıs 2023’e kadar güvence altına almaya zorlamıştır.
Sonuç
CISA’nın yaptığı uyarılar, PaperCut yazılımındaki güvenlik açıklarının ne kadar ciddi tehditler oluşturduğunu ortaya koymaktadır. Bu gibi güvenlik açıkları, sadece federal ajansları değil, dünya genelindeki tüm kuruluşları hedef alabilmektedir. Kuruluşların, bu tür açıkları zamanında yamaması durumunda, büyük veri kayıpları ve finansal zararlara maruz kalmaları kaçınılmazdır.
Kuruluşlar, siber güvenlik önlemlerini güncel tutmak ve aktif olarak bu tür açıkları izlemek için stratejik adımlar atmalıdır. Ayrıca, yöneticilerin bilinçlenmesi ve eğitim alması, bu tür güvenlik açıklarının istismar edilmesini önlemek için büyük önem taşımaktadır.
