O provedor de software de gerenciamento de impressão PaperCut afirmou que tem "evidências que sugerem que servidores não corrigidos estão sendo explorados", citando dois relatórios de vulnerabilidade da empresa de segurança cibernética Trend Micro.
"A PaperCut conduziu análises em todos os relatórios de clientes, e a assinatura mais antiga de atividade suspeita em um servidor de cliente potencialmente relacionado a essa vulnerabilidade é 14 de abril às 01h29 AEST / 13 de abril às 15h29 UTC", acrescentou.
A atualização ocorre enquanto a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha crítica de controle de acesso impróprio (
CVE-2023-27350
, pontuação CVSS: 9,8) no PaperCut MF e NG ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
A empresa de segurança cibernética Huntress, que encontrou cerca de 1.800 servidores PaperCut expostos publicamente, disse que observou comandos PowerShell sendo gerados a partir do software PaperCut para instalar software de gerenciamento e manutenção remota (RMM) como Atera e Syncro para acesso persistente e execução de código nos hosts infectados.
Análises adicionais de infraestrutura revelaram que o domínio que hospeda as ferramentas - windowservicecemter - foi registrado em 12 de abril de 2023, também hospedando malware como o TrueBot, embora a empresa tenha dito que não detectou diretamente a implantação do downloader.
O TrueBot é atribuído a uma entidade criminosa russa conhecida como Silence, que, por sua vez, tem ligações históricas com a Evil Corp e seu cluster sobreposto TA505, este último já facilitou a distribuição do ransomware Cl0p no passado.
"Embora o objetivo final da atividade atual que utiliza o software da PaperCut seja desconhecido, essas ligações (embora um tanto circunstanciais) com uma entidade conhecida de ransomware são preocupantes", disseram os pesquisadores da Huntress.
Os usuários são recomendados a atualizar para as versões corrigidas do PaperCut MF e NG (20.1.7, 21.2.11 e 22.0.9) o mais rápido possível, independentemente de o servidor estar "disponível para conexões externas ou internas", para mitigar riscos potenciais.
Os clientes que não conseguem atualizar para um patch de segurança são aconselhados a bloquear o acesso à rede aos servidores, bloqueando todo o tráfego de entrada de IPs externos e limitando os endereços IP apenas aos pertencentes a servidores de sites verificados.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...