Les serveurs PaperCut en danger à cause d’une faille de sécurité critique (CVE-2023-39143)
La solution de gestion des impressions PaperCut contient une faille de sécurité critique qui permet à un attaquant de compromettre le serveur à distance ! Faisons le point sur cette menace.
Associée à la référence CVE-2023-39143, cette faille de sécurité découverte par les chercheurs en sécurité de chez Horizon3 est le résultat de l'exploitation de deux bugs de type "path transversal". En exploitant cette faille de sécurité, un attaquant non authentifié et positionné à distance peut lire et supprimer des données, mais aussi charger ses propres fichiers sur le serveur PaperCut vulnérable. Il s'agit d'une attaque simple à réaliser et qui ne nécessite pas d'interaction de la part d'un utilisateur.
Toutefois, pour que cette vulnérabilité soit exploitable, l'option qui autorise l'intégration des périphériques externes doit être activée sur serveur PaperCut sous Windows. D'après les chercheurs d'Horizon3 : "D'après les données recueillies par Horizon3 dans des environnements réels, nous estimons que la grande majorité des installations de PaperCut s'effectuent sous Windows avec le paramètre d'intégration des périphériques externes activé." - Pour cause, ce paramètre serait activé par défaut sur certaines solutions comme PaperCut NG et PaperCut MF.
Mon serveur PaperCut est-il vulnérable ?
Cette faille de sécurité affecte les solutions PaperCut NG et PaperCut MF avant la version 22.1.3, puisque cette version intègre le correctif de sécurité (voir le bulletin de sécurité officiel).
Pour savoir si votre serveur PaperCut est vulnérable ou non à cette attaque (puisque cela dépend aussi de la configuration), exécutez cette commande (en adaptant l'adresse IP et le port, selon votre configuration) :
curl -w "%{http_code}" -k --path-as-is "https://<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png"
Si la commande retourne un code HTTP 200, c'est que votre serveur est vulnérable ! Dans ce cas, vous devez installer la mise à jour de sécurité dès que possible ! Si ce n'est pas faisable dans l'immédiat, vous pouvez filtrer l'accès à cette fonction pour certaines adresses IP (voir ici).
Sur le moteur de recherche Shodan, on peut identifier 1 819 serveurs PaperCut exposés sur Internet, dont 115 serveurs en France. Même si cela n'indique pas si ces serveurs sont vulnérables ou pas à la faille de sécurité CVE-2023-39143, cela donne une idée du nombre de cibles potentielles.
En mai dernier, il y a déjà eu une alerte de sécurité pour PaperCut : les pirates ont exploité massivement une faille de sécurité. À vos mises à jour !
