0
0
Os pesquisadores do Horizon3.ai publicaram alguns detalhes (mas nenhum PoC por enquanto, felizmente!) Sobre o CVE-2023-39143, duas vulnerabilidades nos servidores de aplicativos PaperCut que podem ser exploradas por invasores não autenticados para executar código remotamente.
Mas, eles observaram, ao contrário da vulnerabilidade do PaperCut ( CVE-2023-27350 ) recentemente aproveitada pelos afiliados do ransomware Clop e LockBit, o CVE-2023-39143 não é um bug RCE “one-shot”.
“CVE-2023-39143 é mais complexo de explorar, envolvendo vários problemas que devem ser encadeados para comprometer um servidor”, apontaram.
Sobre CVE-2023-39143
PaperCut NG e MF são soluções de software de servidor de gerenciamento de impressão amplamente utilizadas.
CVE-2023-39143 são vulnerabilidades de path traversal nas versões PaperCut NG e PaperCut MF lançadas antes da v22.1.3, que podem ser usadas para ler, excluir e fazer upload de arquivos arbitrários para um servidor de aplicativos vulnerável.
“A vulnerabilidade afeta os servidores PaperCut rodando no Windows. O upload de arquivo que leva à execução remota de código é possível quando a configuração de integração de dispositivo externo está habilitada. Essa configuração está ativada por padrão em certas instalações do PaperCut, como a versão comercial do PaperCut NG ou o PaperCut MF”, compartilharam os pesquisadores .
Mitigando o risco de exploração
O CVE-2023-39143 foi corrigido no final de julho, com o lançamento do PaperCut NG e do PaperCut MF 22.1.3.
Essa versão específica também conectou uma vulnerabilidade DoS em potencial (CVE-2023-3486) sinalizada por pesquisadores da Tenable e um problema de escalonamento de privilégios (atualmente sem CVE) encontrado por pesquisadores da Trend Micro em uma dependência de terceiros usada pelo PaperCut.
Outras melhorias de segurança foram feitas como resultado de auditorias de código, testes de penetração e revisões de segurança, acrescentou a empresa , e pediu aos clientes que planejassem uma atualização para esta versão.
Os pesquisadores do Horizon3.ai compartilharam comandos que os clientes podem usar para verificar se o servidor PaperCut precisa ser atualizado.
Como o acesso direto ao IP do servidor é necessário para explorar o CVE-2023-39143, o risco de exploração também pode ser mitigado configurando uma lista de permissões e preenchendo-a com endereços IP do dispositivo que têm permissão para se comunicar com o servidor. (Isso geralmente é uma boa ideia, mesmo que você atualize regularmente seus servidores PaperCut.)
“Não estamos divulgando mais detalhes neste momento para fornecer aos usuários tempo adequado para atualizar”, concluiu Naveen Sunkavally, da Horizon3.ai.
FONTE: HELP NET SECURITY