A PaperCut recentemente corrigiu uma vulnerabilidade crítica de segurança em seu software de gerenciamento de impressão NG/MF que permite a invasores não autenticados executarem códigos remotos em servidores Windows não corrigidos.
Rastreada como
CVE-2023-39143
, a falha resulta de uma cadeia de duas vulnerabilidades de travessia de caminho descobertas por pesquisadore de segurança da Horizon3 que permitem a atores de ameaças ler, excluir e carregar arquivos arbitrários em sistemas comprometidos após ataques de baixa complexidade que não requerem interação do usuário.
Embora impacte apenas servidores em configurações não padrão onde a configuração de integração de dispositivos externos é alternada, a Horizon3 disse em um relatório publicado na sexta-feira que a maioria dos servidores Windows PaperCut têm isso habilitado.
"Essa configuração está ativada por padrão em certas instalações do PaperCut, como a versão comercial PaperCut NG ou PaperCut MF", disse Horizon3.
"Com base em dados de amostra que coletamos na Horizon3 de ambientes do mundo real, estimamos que a grande maioria das instalações do PaperCut estão em execução no Windows com a configuração de integração do dispositivo externo ativada".
Você pode usar o seguinte comando para verificar se um servidor é vulnerável a ataques
CVE-2023-39143
e está em execução no Windows (uma resposta 200 indica que o servidor precisa de correção):
curl -w "%{http_code}" -k --path-as-is "<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png"
Os administradores que não podem instalar imediatamente as atualizações de segurança (como a Horizon3 aconselha) podem adicionar apenas os endereços IP que precisam de acesso a uma lista de permissões usando estas instruções.
Uma pesquisa do Shodan mostra que aproximadamente 1.800 servidores PaperCut estão atualmente expostos online, embora nem todos estejam vulneráveis a ataques
CVE-2023-39143
.
Os servidores PaperCut foram alvo de vários grupos de ransomware no início deste ano, explorando outra vulnerabilidade crítica de RCE não autenticada (CVE-2023–27350) e uma falha de divulgação de informações de alta gravidade (CVE-2023–27351).
A empresa divulgou em 19 de abril que essas vulnerabilidades estavam sendo ativamente exploradas em ataques, instando os administradores e as equipes de segurança a atualizarem seus servidores urgentemente.
Poucos dias após a divulgação inicial, os pesquisadores de segurança da Horizon3 lançaram um exploit de prova de conceito (PoC) de RCE, abrindo a porta para atores de ameaça adicionais visarem servidores vulneráveis.
A Microsoft vinculou os ataques que visavam os servidores PaperCut às gangues de ransomware Clop e LockBit, que usaram o acesso para roubar dados corporativos de sistemas comprometidos.
Nesses ataques de roubo de dados, a operação de ransomware tirou proveito do recurso 'Arquivamento de Impressão' que salva todos os documentos enviados através dos servidores de impressão PaperCut.
Quase duas semanas depois, a Microsoft revelou que grupos de hackers apoiados pelo estado iraniano rastreados como Muddywater e APT35 também se juntaram ao assalto em andamento.
O CISA adicionou o CVE-2023–27350 RCE bug à sua lista de vulnerabilidades ativamente exploradas em 21 de abril, ordenando que todas as agências federais dos EUA protejam seus servidores até 12 de maio de 2023.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...