Novo bug crítico do PaperCut expõe servidores não atualizados a ataques de execução remota de código
7 de Agosto de 2023

A PaperCut recentemente corrigiu uma vulnerabilidade crítica de segurança em seu software de gerenciamento de impressão NG/MF que permite a invasores não autenticados executarem códigos remotos em servidores Windows não corrigidos.

Rastreada como CVE-2023-39143 , a falha resulta de uma cadeia de duas vulnerabilidades de travessia de caminho descobertas por pesquisadore de segurança da Horizon3 que permitem a atores de ameaças ler, excluir e carregar arquivos arbitrários em sistemas comprometidos após ataques de baixa complexidade que não requerem interação do usuário.

Embora impacte apenas servidores em configurações não padrão onde a configuração de integração de dispositivos externos é alternada, a Horizon3 disse em um relatório publicado na sexta-feira que a maioria dos servidores Windows PaperCut têm isso habilitado.

"Essa configuração está ativada por padrão em certas instalações do PaperCut, como a versão comercial PaperCut NG ou PaperCut MF", disse Horizon3.

"Com base em dados de amostra que coletamos na Horizon3 de ambientes do mundo real, estimamos que a grande maioria das instalações do PaperCut estão em execução no Windows com a configuração de integração do dispositivo externo ativada".

Você pode usar o seguinte comando para verificar se um servidor é vulnerável a ataques CVE-2023-39143 e está em execução no Windows (uma resposta 200 indica que o servidor precisa de correção):
curl -w "%{http_code}" -k --path-as-is "<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png"

Os administradores que não podem instalar imediatamente as atualizações de segurança (como a Horizon3 aconselha) podem adicionar apenas os endereços IP que precisam de acesso a uma lista de permissões usando estas instruções.

Uma pesquisa do Shodan mostra que aproximadamente 1.800 servidores PaperCut estão atualmente expostos online, embora nem todos estejam vulneráveis a ataques CVE-2023-39143 .

Os servidores PaperCut foram alvo de vários grupos de ransomware no início deste ano, explorando outra vulnerabilidade crítica de RCE não autenticada (CVE-2023–27350) e uma falha de divulgação de informações de alta gravidade (CVE-2023–27351).

A empresa divulgou em 19 de abril que essas vulnerabilidades estavam sendo ativamente exploradas em ataques, instando os administradores e as equipes de segurança a atualizarem seus servidores urgentemente.

Poucos dias após a divulgação inicial, os pesquisadores de segurança da Horizon3 lançaram um exploit de prova de conceito (PoC) de RCE, abrindo a porta para atores de ameaça adicionais visarem servidores vulneráveis.

A Microsoft vinculou os ataques que visavam os servidores PaperCut às gangues de ransomware Clop e LockBit, que usaram o acesso para roubar dados corporativos de sistemas comprometidos.

Nesses ataques de roubo de dados, a operação de ransomware tirou proveito do recurso 'Arquivamento de Impressão' que salva todos os documentos enviados através dos servidores de impressão PaperCut.

Quase duas semanas depois, a Microsoft revelou que grupos de hackers apoiados pelo estado iraniano rastreados como Muddywater e APT35 também se juntaram ao assalto em andamento.

O CISA adicionou o CVE-2023–27350 RCE bug à sua lista de vulnerabilidades ativamente exploradas em 21 de abril, ordenando que todas as agências federais dos EUA protejam seus servidores até 12 de maio de 2023.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...