Pesquisadores descobrem nova exploração para vulnerabilidade do PaperCut que pode burlar detecção
5 de Maio de 2023

Pesquisadores de segurança cibernética encontraram uma maneira de explorar uma falha crítica recentemente divulgada em servidores PaperCut de forma a contornar todas as detecções atuais.

Rastreada como CVE-2023-27350 (pontuação CVSS: 9,8), a questão afeta as instalações do PaperCut MF e NG que poderiam ser exploradas por um invasor não autenticado para executar código arbitrário com privilégios do sistema.

Embora a falha tenha sido corrigida pela empresa australiana em 8 de março de 2023, os primeiros sinais de exploração ativa surgiram em 13 de abril de 2023.

Desde então, a vulnerabilidade foi utilizada por vários grupos de ameaças, incluindo atores de ransomware, com atividade pós-exploração resultando na execução de comandos PowerShell projetados para soltar payloads adicionais.

Agora, a VulnCheck publicou um exploit de prova de conceito (PoC) que contorna as assinaturas de detecção existentes aproveitando o fato de que "o PaperCut NG e MF oferecem vários caminhos para a execução de código".

É importante notar que exploits públicos para a falha usam a interface de script da impressora PaperCut para executar comandos do Windows ou soltar um arquivo Java (JAR) malicioso.

Ambas as abordagens, de acordo com a VulnCheck, deixam rastros distintos no serviço de Monitor de Sistema do Windows (também conhecido como Sysmon) e no arquivo de log do servidor, sem mencionar acionar assinaturas de rede que podem detectar a bypass de autenticação.

Mas a empresa de inteligência de ameaças com sede em Massachusetts disse ter descoberto um novo método que abusa do recurso de "Sincronização de Usuário/Grupo" do software de gerenciamento de impressão, que torna possível sincronizar informações de usuários e grupos do Active Directory, LDAP ou uma fonte personalizada.

Ao optar por uma fonte de diretório personalizada, os usuários também podem especificar um programa de autenticação personalizado para validar o nome de usuário e a senha de um usuário.

Curiosamente, os programas de usuário e autenticação podem ser qualquer executável, embora o programa de autenticação tenha que ser interativo por natureza.

O exploit PoC elaborado pela VulnCheck faz uso do programa de autenticação definido como "/usr/sbin/python3" para Linux e "C: \ Windows \ System32 \ ftp.exe" para Windows.

Tudo o que um invasor precisa fazer para executar código arbitrário é fornecer um nome de usuário e senha maliciosos durante uma tentativa de login, disse a empresa.

O método de ataque pode ser explorado para lançar um shell reverso Python no Linux ou baixar um shell reverso personalizado hospedado em um servidor remoto no Windows sem ativar nenhuma das detecções conhecidas.

"Um usuário administrador atacando o PaperCut NG e MF pode seguir vários caminhos para a execução de código arbitrário", observou o pesquisador de segurança da VulnCheck, Jacob Baines.

"Detecções que se concentram em um método de execução de código específico, ou que se concentram em um pequeno conjunto de técnicas usadas por um ator de ameaça, estão fadadas a ser inúteis na próxima rodada de ataques.

Os atacantes aprendem com as detecções públicas dos defensores, então é responsabilidade dos defensores produzir detecções robustas que não sejam facilmente contornadas".

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...