0
0
Uma falha RCE não autenticada (CVE-2023-27350) no software de gerenciamento de impressão PaperCut MF e NG amplamente utilizado está sendo explorada por invasores para assumir servidores de aplicativos vulneráveis, e agora há uma exploração pública de PoC.
Sobre a vulnerabilidade
De acordo com o PaperCut, os ataques parecem ter começado em 14 de abril de 2023 – um mês e uma semana depois que a fabricante de software lançou novas versões do PaperCut MF e NG que corrigiram CVE-2023-27350 e CVE-2023-27351, uma falha de divulgação de informações não autenticada que poderia permitir que os invasores acessassem informações confidenciais do usuário (nomes de usuário, endereços de e-mail, informações de escritório / departamento e números de cartão) sem autenticação.
No mesmo dia, a Zero Day Initiative (ZDI) da Trend Micro – o programa de recompensas de bugs de vulnerabilidade através do qual as duas falhas foram relatadas – publicou avisos para CVE-2023-27350 e CVE-2023-27351.
Tanto o PaperCut quanto o ZDI se abstiveram de publicar detalhes técnicos detalhados sobre as vulnerabilidades. Eles apenas notaram que:
- CVE-2023-27350 existe dentro da classe SetupCompleted, decorre de controle de acesso impróprio e pode resultar em um desvio de autenticação e execução remota de código em instalações vulneráveis
- CVE-2023-27351 existe dentro da classe SecurityRequestFilter, decorre de uma implementação inadequada do algoritmo de autenticação e pode resultar em um desvio de autenticação e divulgação de informações confidenciais
A PaperCut diz que o CVE-2023-27350 está sendo explorado, mas que atualmente não tem evidências de que o CVE-2023-27351 esteja.
CVE-2023-27350 afeta o PaperCut MF ou NG versão 8.0 ou posterior (em todas as plataformas de sistema operacional); CVE-2023–27351 afeta o PaperCut MF ou NG versão 15.0 ou posterior (em todas as plataformas de sistema operacional).
Os usuários são aconselhados a atualizar todos os Servidores de Aplicativos e Servidores de Site para as versões 20.1.7, 21.2.11 ou 22.0.9 do PaperCut MF e NG, que incluem uma correção para ambas as vulnerabilidades. Se a atualização for impossível, eles devem bloquear o acesso à rede aos servidores, bloqueando todo o tráfego de entrada de IPs externos para a porta de gerenciamento da Web (porta 9191 e 9192 por padrão).
“A equipe de resposta de segurança da PaperCut tem trabalhado com consultores de segurança externos para compilar uma lista de servidores PaperCut MF/NG não corrigidos que têm portas abertas na Internet pública. Além de nossos anúncios por e-mail e no aplicativo para todos os clientes, temos usado essa lista para alcançar proativamente clientes potencialmente expostos por vários meios”, disse a empresa.
“Se você suspeitar que seu servidor foi comprometido, recomendamos fazer backups do servidor, depois limpar o Servidor de Aplicativos, reconstruir o Servidor de Aplicativos e restaurar o banco de dados a partir de um ponto de backup ‘seguro’ antes de quando você descobriu qualquer comportamento suspeito.”
Um PoC para CVE-2023-27350 está disponível
Os pesquisadores da Huntress compartilharam na sexta-feira que existem cerca de 1.800 servidores PaperCut expostos publicamente que podem ser acessados pela porta 9191, e que servidores vulneráveis estão sendo explorados e têm o software de gerenciamento e manutenção remota Atera e / ou Syncro instalado neles, permitindo que os invasores obtenham acesso remoto persistente e recursos de execução de código.
Outro arquivo que é baixado é uma variante do malware Truebot.
“O Truebot está ligado a uma entidade conhecida como Silence, que por sua vez tem ligações históricas com a entidade relacionada ao ransomware TA505 (ou Clop). Na investigação anterior do Truebot, o TA505 mais tarde reivindicou a responsabilidade pelo uso da exploração do software GoAnywhere como um precursor do ransomware “, observaram os pesquisadores.
“Embora o objetivo final da atividade atual alavancando o software da PaperCut seja desconhecido, esses links (embora um pouco circunstanciais) para uma entidade ransomware conhecida são preocupantes. Potencialmente, o acesso obtido através da exploração do PaperCut poderia ser usado como um ponto de apoio, levando ao movimento de acompanhamento dentro da rede da vítima e, finalmente, à implantação de ransomware “.
Eles compartilharam indicadores de comprometimento que os administradores podem usar para determinar se os invasores violaram seus servidores e instalaram malware neles, bem como conselhos de mitigação de riscos.
Na segunda-feira, Horizon3.ai publicou um post detalhando sua análise do aviso e do patch, bem como como eles construíram uma exploração de prova de conceito (PoC) para CVE-2023-27350. Podemos esperar que outros invasores façam uso das informações publicadas e do PoC para montar ataques bem-sucedidos.
FONTE: HELPNET SECURITY