PoC liberado para a vulnerabilidade do PaperCut
25 de Abril de 2023

Atacantes estão explorando vulnerabilidades graves no software de gerenciamento de impressão PaperCut MF/NG amplamente utilizado para instalar o software de gerenciamento remoto Atera e assumir o controle de servidores.

O desenvolvedor do software afirma que ele é usado por mais de 100 milhões de usuários de mais de 70.000 empresas em todo o mundo.

As duas falhas de segurança (rastreadas como CVE-2023-27350 e CVE-2023-27351 ) permitem que atacantes remotos ignorem a autenticação e executem código arbitrário em servidores PaperCut comprometidos com privilégios do sistema em ataques de baixa complexidade que não exigem interação do usuário.

A empresa alertou: "Ambas as vulnerabilidades foram corrigidas nas versões 20.1.7, 21.2.11 e 22.0.9 e posteriores do PaperCut MF e PaperCut NG.

Recomendamos fortemente a atualização para uma dessas versões que contenha a correção".

Hoje, a empresa de avaliação de superfície de ataque Horizon3 publicou um post de blog contendo informações técnicas detalhadas e um exploit de prova de conceito (PoC) CVE-2023-27350 que os atacantes poderiam usar para ignorar a autenticação e executar código em servidores PaperCut não corrigidos.

A Horizon3 diz que o exploit RCE ajuda a obter "execução de código remoto abusando da funcionalidade 'Scripting' incorporada para impressoras".

Huntress também criou um exploit PoC para demonstrar a ameaça representada por esses ataques em andamento, mas ainda não o lançou online (uma demonstração em vídeo está disponível abaixo).

Embora servidores PaperCut não corrigidos já estejam sendo alvo, atores de ameaças adicionais também provavelmente usarão o código de exploit da Horizon3 em ataques futuros.

Felizmente, uma pesquisa do Shodan mostra que os atacantes poderiam direcionar apenas cerca de 1.700 servidores PaperCut expostos à Internet.

A CISA adicionou a falha CVE-2023-27350 à sua lista de vulnerabilidades ativamente exploradas na sexta-feira, ordenando às agências federais que protejam seus sistemas contra a exploração contínua dentro de três semanas até 12 de maio de 2023.

A Huntress aconselha os administradores que não conseguem corrigir prontamente seus servidores PaperCut a tomar medidas para evitar a exploração remota.

Isso inclui o bloqueio de todo o tráfego para a porta de gerenciamento da web (porta padrão 9191) de endereços IP externos em um dispositivo de borda, bem como o bloqueio de todo o tráfego para a mesma porta no firewall do servidor para restringir o acesso de gerenciamento apenas ao servidor e evitar possíveis violações de rede.

De acordo com os pesquisadores de segurança da Huntress que têm analisado a atividade pós-exploração relacionada a esses ataques em andamento desde 16 de abril, quando os primeiros ataques foram observados, os atores de ameaças têm usado a falha para executar comandos PowerShell que instalam os softwares de gerenciamento remoto Atera e Syncro.

Esses ataques foram precedidos pelo registro do domínio windowservicecenter em 12 de abril, que também foi usado para hospedar e fornecer o downloader TrueBot, um malware vinculado ao grupo de cibercrime Silence e usado para implantar payloads de ransomware Clop desde dezembro de 2022.

"Embora o objetivo final da atividade atual que explora o software da PaperCut seja desconhecido, essas ligações (embora um tanto circunstanciais) a uma entidade de ransomware conhecida são preocupantes", disse a Huntress Labs.

"Potencialmente, o acesso obtido por meio da exploração do PaperCut pode ser usado como uma base levando a movimentos subsequentes dentro da rede da vítima e, finalmente, à implantação de ransomware".

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...