Pesquisadores de segurança cibernética encontraram uma maneira de explorar uma falha crítica recentemente divulgada em servidores PaperCut de forma a contornar todas as detecções atuais.
Rastreada como
CVE-2023-27350
(pontuação CVSS: 9,8), a questão afeta as instalações do PaperCut MF e NG que poderiam ser exploradas por um invasor não autenticado para executar código arbitrário com privilégios do sistema.
Embora a falha tenha sido corrigida pela empresa australiana em 8 de março de 2023, os primeiros sinais de exploração ativa surgiram em 13 de abril de 2023.
Desde então, a vulnerabilidade foi utilizada por vários grupos de ameaças, incluindo atores de ransomware, com atividade pós-exploração resultando na execução de comandos PowerShell projetados para soltar payloads adicionais.
Agora, a VulnCheck publicou um exploit de prova de conceito (PoC) que contorna as assinaturas de detecção existentes aproveitando o fato de que "o PaperCut NG e MF oferecem vários caminhos para a execução de código".
É importante notar que exploits públicos para a falha usam a interface de script da impressora PaperCut para executar comandos do Windows ou soltar um arquivo Java (JAR) malicioso.
Ambas as abordagens, de acordo com a VulnCheck, deixam rastros distintos no serviço de Monitor de Sistema do Windows (também conhecido como Sysmon) e no arquivo de log do servidor, sem mencionar acionar assinaturas de rede que podem detectar a bypass de autenticação.
Mas a empresa de inteligência de ameaças com sede em Massachusetts disse ter descoberto um novo método que abusa do recurso de "Sincronização de Usuário/Grupo" do software de gerenciamento de impressão, que torna possível sincronizar informações de usuários e grupos do Active Directory, LDAP ou uma fonte personalizada.
Ao optar por uma fonte de diretório personalizada, os usuários também podem especificar um programa de autenticação personalizado para validar o nome de usuário e a senha de um usuário.
Curiosamente, os programas de usuário e autenticação podem ser qualquer executável, embora o programa de autenticação tenha que ser interativo por natureza.
O exploit PoC elaborado pela VulnCheck faz uso do programa de autenticação definido como "/usr/sbin/python3" para Linux e "C: \ Windows \ System32 \ ftp.exe" para Windows.
Tudo o que um invasor precisa fazer para executar código arbitrário é fornecer um nome de usuário e senha maliciosos durante uma tentativa de login, disse a empresa.
O método de ataque pode ser explorado para lançar um shell reverso Python no Linux ou baixar um shell reverso personalizado hospedado em um servidor remoto no Windows sem ativar nenhuma das detecções conhecidas.
"Um usuário administrador atacando o PaperCut NG e MF pode seguir vários caminhos para a execução de código arbitrário", observou o pesquisador de segurança da VulnCheck, Jacob Baines.
"Detecções que se concentram em um método de execução de código específico, ou que se concentram em um pequeno conjunto de técnicas usadas por um ator de ameaça, estão fadadas a ser inúteis na próxima rodada de ataques.
Os atacantes aprendem com as detecções públicas dos defensores, então é responsabilidade dos defensores produzir detecções robustas que não sejam facilmente contornadas".
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...