0
0
Invasores estão explorando vulnerabilidades graves no software de gerenciamento de impressão para assumir o controle dos servidores
Invasores estão explorando vulnerabilidades graves no software de gerenciamento de impressão PaperCut MF/NG, amplamente utilizado no mercado, para instalar o software de gerenciamento remoto Atera e assumir o controle dos servidores.
A desenvolvedora do software de mesmo nome afirma que o PaperCut MF/NG é usado por mais de 100 milhões de usuários em mais de 70 mil empresas em todo o mundo. As duas falhas de segurança (rastreadas como CVE-2023-27350 e CVE-2023-27351) permitem que invasores remotos ignorem a autenticação e executem código arbitrário em servidores PaperCut comprometidos com privilégios de administrador em ataques de baixa complexidade que não requerem interação do usuário.
“Ambas as vulnerabilidades foram corrigidas nas versões PaperCut MF e PaperCut NG 20.1.7, 21.2.11 e 22.0.9 e posteriores. É altamente recomendável atualizar para uma dessas versões contendo a correção”, alertou a empresa.
Nesta segunda-feira, 24, a Horizon3 publicou uma postagem no blog corporativo da empresa contendo informações técnicas detalhadas e uma exploração de prova de conceito (PoC) do CVE-2023-27350 que os invasores poderiam usar para ignorar a autenticação e executar o código em servidores PaperCut não corrigidos. A empresa de avaliação de superfície de ataque diz que a exploração do RCE ajuda a obter “execução remota de código, explorando a funcionalidade integrada de ‘scripting’ para impressoras”.
Até que todas as empresas que usam o PaperCut sem patch sejam avisados, operadores de ameaças provavelmente também usarão o código de exploração da Horizon3 em novos ataques. No entanto, uma pesquisa no Shodan, serviço de busca para que empresas tenham uma visão ampla sobre o uso de seus softwares e equipamentos, mostra que os invasores podem atingir apenas cerca de 1.700 servidores PaperCut expostos na internet.
A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA adicionou a falha à sua lista de vulnerabilidades exploradas ativamente na sexta-feira, 21, ordenando que as agências federais protejam seus sistemas contra exploração contínua dentro de três semanas, até 12 de maio.
Pesquisadores da empresa de segurança Huntress, ouvidos pelo BleepingComputer, aconselham os administradores incapazes de corrigir prontamente seus servidores PaperCut a tomar medidas para evitar a exploração remota. Isso inclui o bloqueio de todo o tráfego para a porta de gerenciamento da web (porta padrão 9191) de endereços IP externos em um dispositivo de ponta, bem como o bloqueio de todo o tráfego para a mesma porta no firewall do servidor para restringir o acesso de gerenciamento apenas ao servidor e evitar possíveis redes violações.
FONTE: CISO ADVISOR