Atacantes estão explorando vulnerabilidades graves no software de gerenciamento de impressão PaperCut MF/NG amplamente utilizado para instalar o software de gerenciamento remoto Atera e assumir o controle de servidores.
O desenvolvedor do software afirma que ele é usado por mais de 100 milhões de usuários de mais de 70.000 empresas em todo o mundo.
As duas falhas de segurança (rastreadas como
CVE-2023-27350
e
CVE-2023-27351
) permitem que atacantes remotos ignorem a autenticação e executem código arbitrário em servidores PaperCut comprometidos com privilégios do sistema em ataques de baixa complexidade que não exigem interação do usuário.
A empresa alertou: "Ambas as vulnerabilidades foram corrigidas nas versões 20.1.7, 21.2.11 e 22.0.9 e posteriores do PaperCut MF e PaperCut NG.
Recomendamos fortemente a atualização para uma dessas versões que contenha a correção".
Hoje, a empresa de avaliação de superfície de ataque Horizon3 publicou um post de blog contendo informações técnicas detalhadas e um exploit de prova de conceito (PoC)
CVE-2023-27350
que os atacantes poderiam usar para ignorar a autenticação e executar código em servidores PaperCut não corrigidos.
A Horizon3 diz que o exploit RCE ajuda a obter "execução de código remoto abusando da funcionalidade 'Scripting' incorporada para impressoras".
Huntress também criou um exploit PoC para demonstrar a ameaça representada por esses ataques em andamento, mas ainda não o lançou online (uma demonstração em vídeo está disponível abaixo).
Embora servidores PaperCut não corrigidos já estejam sendo alvo, atores de ameaças adicionais também provavelmente usarão o código de exploit da Horizon3 em ataques futuros.
Felizmente, uma pesquisa do Shodan mostra que os atacantes poderiam direcionar apenas cerca de 1.700 servidores PaperCut expostos à Internet.
A CISA adicionou a falha
CVE-2023-27350
à sua lista de vulnerabilidades ativamente exploradas na sexta-feira, ordenando às agências federais que protejam seus sistemas contra a exploração contínua dentro de três semanas até 12 de maio de 2023.
A Huntress aconselha os administradores que não conseguem corrigir prontamente seus servidores PaperCut a tomar medidas para evitar a exploração remota.
Isso inclui o bloqueio de todo o tráfego para a porta de gerenciamento da web (porta padrão 9191) de endereços IP externos em um dispositivo de borda, bem como o bloqueio de todo o tráfego para a mesma porta no firewall do servidor para restringir o acesso de gerenciamento apenas ao servidor e evitar possíveis violações de rede.
De acordo com os pesquisadores de segurança da Huntress que têm analisado a atividade pós-exploração relacionada a esses ataques em andamento desde 16 de abril, quando os primeiros ataques foram observados, os atores de ameaças têm usado a falha para executar comandos PowerShell que instalam os softwares de gerenciamento remoto Atera e Syncro.
Esses ataques foram precedidos pelo registro do domínio windowservicecenter em 12 de abril, que também foi usado para hospedar e fornecer o downloader TrueBot, um malware vinculado ao grupo de cibercrime Silence e usado para implantar payloads de ransomware Clop desde dezembro de 2022.
"Embora o objetivo final da atividade atual que explora o software da PaperCut seja desconhecido, essas ligações (embora um tanto circunstanciais) a uma entidade de ransomware conhecida são preocupantes", disse a Huntress Labs.
"Potencialmente, o acesso obtido por meio da exploração do PaperCut pode ser usado como uma base levando a movimentos subsequentes dentro da rede da vítima e, finalmente, à implantação de ransomware".
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...