Pesquisadores de segurança revelaram novos detalhes sobre como os invasores estão explorando duas falhas no sistema de gerenciamento de impressão empresarial PaperCut - usado por mais de 100 milhões de clientes em todo o mundo - para contornar a autenticação e executar código remoto. As falhas mais uma vez destacam o risco de impressoras corporativas e sistemas relacionados, uma ameaça frequentemente negligenciada, representam para a segurança geral das organizações.
Pesquisadores da PaperCut, bem como de empresas de segurança, já alertaram que os invasores estão explorando as vulnerabilidades - corrigidas pela PaperCut em uma atualização de 8 de março para seus produtos PaperCut MF e NG - para assumir versões sem patches do software. Além disso, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou as falhas ao seu catálogo de vulnerabilidades exploradas conhecidas em abril 21.
A Zero Day Initiative rastreia as falhas como ZDI-CAN-18987 e ZDI-CAN-19226; eles também estão sendo rastreados como CVE-2023-27350 e CVE-2023-27351, respectivamente, pelo National Vulnerability Database do NIST. As falhas afetam o PaperCut MF e NG versão 8.0 e posterior, em todas as plataformas de sistema operacional, de acordo com o PaperCut.
Pesquisadores em Horizon3.ai lançou código de exploração de prova de conceito para CVE-2023-27350 - o mais perigoso dos dois bugs com uma classificação CVSS de 9.8 contra a classificação de sua falha companheira de 8.2 - na segunda-feira.
Abusando CVE-2023-27350
A equipe do Horizon3.ai também incluiu uma análise técnica de como os invasores estão abusando da “funcionalidade integrada de 'Scripting' para impressoras” para abusar do exploit RCE. A página Device Scripting do sistema permite que o administrador desenvolva ganchos para personalizar a impressão em toda a empresa usando scripts baseados em JavaScript e executados no contexto do serviço PrintCut, que no Windows é executado como NT AUTHORITYSYSTEM, explicaram os pesquisadores.
Embora o uso do aplicativo da Web do PaperCut de campos de formulário dinâmicos com base na última solicitação tornasse o desenvolvimento de um script para interagir com o site menos direto, eles demonstraram como foram capazes de fazer isso em uma exploração de prova de conceito lançada em GitHub.
CVE-2023-27350 existe dentro da classe SetupCompleted e resulta de controle de acesso impróprio, de acordo com sua listagem no site da Zero Day Initiative.
“Um invasor pode aproveitar essa vulnerabilidade para ignorar a autenticação e executar código arbitrário no contexto do SISTEMA”, de acordo com a listagem.
Enquanto isso, o CVE-2023-27351, também um bug RCE de bypass de autenticação que afeta o PaperCut NG, existe na classe SecurityRequestFilter como resultado da implementação inadequada do algoritmo de autenticação, de acordo com sua listagem no site da Zero Day Initiative.
Descobrindo os erros do PaperCut
A análise detalhada do Horizon3.ai segue um aviso do PaperCut em 19 de abril de que as falhas encontradas no PaperCut NG estavam sob ataque ativo, instando as organizações a atualizar para a versão mais recente do produto.
a empresa disse em uma assessoria que recebeu seu primeiro relatório de um cliente de atividade suspeita em seu servidor PaperCut em 17 de abril, embora análises posteriores tenham revelado que a atividade pode ter começado em 13 de abril.
Pesquisadores da Trend Micro relataram originalmente os problemas ao PaperCut, que creditou Piotr Bazydlo (@chudypb) por descobrir CVE-2023-27351 e um pesquisador anônimo por descobrir CVE-2023-27350.
PaperCut também reconheceu uma equipe de pesquisa de segurança da empresa de gerenciamento de segurança Huntress - incluindo Joe Slowik, Caleb Stewart, Stuart Ashenbrenner, John Hammond, Jason Phelps, Sharon Martin, Kris Luzadre, Matt Anderson e Dave Kleinatland - por ajudar na investigação da empresa sobre as falhas. .
Em abril 21, o Os pesquisadores da Huntress revelaram que os invasores estavam explorando as vulnerabilidades para assumir servidores comprometidos usando as ferramentas legítimas de gerenciamento remoto e software de manutenção Atera e Syncro.
“Com base na análise preliminar, ambos parecem ser cópias legítimas desses produtos e não possuem nenhuma capacidade maliciosa incorporada ou adicionada”, escreveram os pesquisadores da Huntress.
Embora as ameaças sejam divididas em dois CVEs, ambos “em última análise, dependem de um desvio de autenticação que leva a um maior comprometimento como usuário administrativo dentro do PaperCut Application Server”, escreveram os pesquisadores.
Uma vez que um agente de ameaça usa uma falha ou ambas as falhas para contornar a autenticação, ele ou ela “pode então executar código arbitrário no servidor em execução no contexto da conta NT AUTHORITYSYSTEM”, escreveram os pesquisadores.
Os pesquisadores da Huntress também observaram evidências pós-exploração na forma de uma instalação de carga útil do Truebot que sugere que a exploração das falhas do PaperCut pode ser um precursor da futura atividade do ransomware Clop com base em investigações anteriores de atividades semelhantes, de acordo com a Huntress.
O pesquisador de segurança da Huntress, Caleb Stewart, também recriou uma exploração de prova de conceito para demonstrar como CVE-2023-27350 pode ser explorado, um vídeo do qual está incluído na postagem.
Quem está em risco cibernético
PaperCut MF é um software de gerenciamento de impressão para suportar vários dispositivos e gerenciar configurações de impressão para impressão em uma rede corporativa. O PaperCut NG é um software complementar para rastreamento e relatórios detalhados de trabalhos de impressão, com o objetivo de ajudar as organizações a reduzir o desperdício de papel de impressão.
O sistema de gerenciamento de impressão PaperCut tem mais de cem milhões de usuários em organizações em todo o mundo para ajudar as empresas a minimizar o desperdício e facilitar a impressão em toda a empresa, de acordo com a PaperCut. Nos Estados Unidos, os ambientes estaduais, locais e educacionais (SLED) estão entre as organizações típicas que usam o software.
Uma consulta Shodan para http.html:”papercut” http.html:”print” mostrou aproximadamente 1,700 servidores PaperCut expostos à Internet, com clientes educacionais compreendendo 450 desses resultados, de acordo com a Horizon3.ai.
Em seus ambientes protegidos, os pesquisadores da Huntress relataram observar um total de 1,014 hosts Windows com o PaperCut instalado, com 9087 desses hosts espalhados por 710 organizações distintas vulneráveis a exploração, disseram eles.
Apenas três hosts macOS no total, dois dos quais vulneráveis, tinham o PaperCut instalado nos ambientes observados, acrescentaram os pesquisadores, observando que enviaram relatórios de incidentes a todos os clientes afetados e atualizações recomendadas.
Detecção e Mitigação
A PaperCut incluiu uma lista de indicadores de comprometimento para seus clientes em seu comunicado e os aconselhou a atualizar, garantindo que “não deve haver impacto negativo” na aplicação das correções de segurança.
No entanto, se um cliente não puder atualizar para a versão mais recente - o que pode ser verdade principalmente com uma versão mais antiga do aplicativo - a empresa recomenda que os clientes bloqueiem o acesso à rede do servidor afetado.
Para fazer isso, eles podem bloquear todo o tráfego de entrada de IPs externos para a porta de gerenciamento da Web (porta 9191 e 9192 por padrão) e bloquear todo o tráfego de entrada para o portal de gerenciamento da Web no firewall para o servidor.
Para mitigar o CVE-2023-27351, os clientes também podem aplicar restrições de “lista de permissões” ao servidor encontradas em Opções > Avançado > Segurança > Endereços IP do servidor do site permitidos, configurando-o para permitir apenas os endereços IP dos servidores do site verificados em suas redes , de acordo com PaperCut.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Fonte: https://www.darkreading.com/remote-workforce/attackers-abuse-papercut-rce-flaws-to-take-over-enterprise-print-servers
- :tem
- :é
- :não
- 1
- 100
- 7
- 710
- 8
- 9
- a
- Capaz
- Sobre
- abuso
- Acesso
- Segundo
- Conta
- em
- ativo
- atividade
- adicionado
- endereços
- administrativo
- avançado
- consultivo
- afetar
- afetando
- agência
- AI
- algoritmo
- Todos os Produtos
- já
- tb
- entre
- an
- análise
- e
- e infra-estrutura
- Anônimo
- qualquer
- aparecer
- Aplicação
- Aplicar
- Aplicando
- aproximadamente
- Abril
- SOMOS
- AS
- At
- ataque
- Autenticação
- baseado
- BE
- ser
- Bloquear
- ambos
- Bug
- erros
- construídas em
- by
- CAN
- catálogo
- classe
- código
- Empresas
- Empresa
- compromisso
- Comprometido
- contexto
- ao controle
- poderia
- cliente
- Clientes
- personalizar
- Cortar
- Cíber segurança
- Perigoso
- banco de dados
- Dave
- dia
- Padrão
- demonstrar
- detalhado
- detalhes
- desenvolver
- em desenvolvimento
- dispositivo
- Dispositivos/Instrumentos
- descobrindo
- distinto
- do
- down
- dinâmico
- Educação
- permite
- Empreendimento
- ambientes
- evidência
- executar
- existe
- explicado
- Explorar
- exploração
- exploradas
- exposto
- externo
- facilitar
- Campos
- firewall
- Empresa
- Primeiro nome
- falha
- falhas
- segue
- Escolha
- formulário
- encontrado
- da
- funcionalidade
- mais distante
- futuro
- Ter
- he
- ajudar
- ajuda
- Destaques
- Hooks
- anfitriões
- Como funciona o dobrador de carta de canal
- HTML
- http
- HTTPS
- Impacto
- implementação
- in
- incidente
- incluído
- Incluindo
- indicadores
- Infraestrutura
- Iniciativa
- instalado
- interagir
- Internet
- para dentro
- investigação
- IP
- Endereços IP
- questões
- IT
- ESTÁ
- JOE
- banheiro
- jpg
- conhecido
- Sobrenome
- mais recente
- Leads
- legítimo
- Alavancagem
- Lista
- listagem
- local
- MacOS
- moldadas
- manutenção
- gerencia
- de grupos
- Março
- Martin
- Posso..
- milhão
- Mitigar
- Segunda-feira
- mais
- Além disso
- Nacional
- negativo
- rede
- redes
- Novo
- nist
- of
- on
- só
- Opções
- or
- organizações
- originalmente
- OS
- Acima de
- global
- página
- Papel
- particularmente
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- Portal
- precursor
- anterior
- Impressão
- Produto
- Produtos
- protegido
- ransomware
- classificação
- recebido
- Recomenda
- relacionado
- liberado
- remoto
- Denunciar
- Informou
- Relatórios
- Relatórios
- solicitar
- pesquisa
- investigador
- pesquisadores
- restrições
- resultar
- Resultados
- Revelado
- Risco
- corrida
- s
- Dito
- Scripts
- segurança
- Servidores
- serviço
- contexto
- rede de apoio social
- semelhante
- local
- So
- Software
- divisão
- propagação
- começado
- Estado
- Unidos
- franco
- ajuda
- suspeito
- .
- sistemas
- Tire
- Profissionais
- Dados Técnicos:
- Análise Técnica
- do que
- que
- A
- deles
- Eles
- Lá.
- Este
- deles
- isto
- aqueles
- ameaça
- ameaças
- três
- para
- ferramentas
- Total
- Rastreamento
- tráfego
- Trend
- verdadeiro
- típico
- Em última análise
- para
- Unido
- Estados Unidos
- Atualizar
- Atualizações
- atualização
- usar
- usava
- Utilizador
- usuários
- utilização
- vário
- verificado
- versão
- Contra
- Vídeo
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- aviso
- Desperdício
- web
- Aplicativo da Web
- Site
- BEM
- foram
- qual
- Windows
- de
- dentro
- no mundo todo
- Youtube
- zefirnet
- zero
- Day Zero