CVE-2023-27350 Exploit Detection: Critical PaperCut RCE Vulnerability Added to the CISA’s Known Exploited Vulnerabilities Catalog
Inhaltsverzeichnis:
PaperCut hat kürzlich berichtet, dass die Anwendungsserver des Unternehmens anfällig für eine kritische RCE-Schwachstelle sind, bekannt als CVE-2023-27350, mit einem CVSS von 9,8. Als Reaktion auf die steigende Anzahl von Ausbeutungsversuchen hat CISA den entdeckten Fehler in seinen Katalog der Bekannten Ausgenutzten Schwachstellen (KEV) aufgenommen.
Erkennung von Ausbeutungsversuchen der CVE-2023-27350
Proaktive Erkennung von Schwachstellenausbeutung bleibt eine der obersten Inhaltsprioritäten seit 2021 aufgrund der wachsenden Zahl entdeckter CVEs, die weit verbreitete Softwarelösungen kompromittieren und aktiv in Angriffen in freier Wildbahn genutzt werden. Da die kritische PaperCut CVE-2023-27350-Schwachstelle in freier Wildbahn aktiv ausgenutzt wird, suchen Cyber-Verteidiger nach Möglichkeiten, die Infektion rechtzeitig zu identifizieren. Das SOC Prime-Team hat kürzlich eine neue Sigma-Regel veröffentlicht, die mögliche Versuche zum Umgehen der Authentifizierung im PaperCut-Druckmanagementsystem im Zusammenhang mit den Ausbeutungsmustern der CVE-2023-27350 identifiziert:
Möglicher Ausbeutungsversuch der PaperCut CVE-2023-27350 (über Webserver)
Diese Sigma-Regel ist mit dem MITRE ATT&CK v12 Framework abgestimmt, das die Taktik Initial Access mit der entsprechenden Technik Exploit Public-Facing Application (T1190) adressiert und kann in branchenführenden SIEM-, EDR-, XDR- und BDP-Lösungen angewendet werden.
Um immer auf dem neuesten Stand der kritischen Schwachstellen zu bleiben, die von Angreifern als Waffe eingesetzt werden und Organisationen schwerwiegenden Bedrohungen aussetzen, ermöglicht SOC Prime Cyberverteidigern, sofort relevanten Erkennungsinhalt zu erreichen und ihre Cybersicherheitslage risikoorientiert zu optimieren. Klicken Sie auf den Erkennungen Erkunden Knopf unten, um Zugriff auf die umfassende Sammlung von Sigma-Regeln für CVE-Erkennung zu erhalten, angereichert mit CTI- und ATT&CK-Referenzen und anderem relevanten Kontext zu Cyber-Bedrohungen für eine optimierte Bedrohungsuntersuchung.
Analyse von CVE-2023-27350
PaperCut MF/NG ist ein beliebtes Druckmanagementsystem mit über 100 Millionen aktiven Nutzern aus mehr als 70.000 Organisationen weltweit. Im Januar 2023 enthüllten und meldeten Cybersicherheitsforscher einen Fehler (CVE-2023-27350), der es unbefugten Hackern ermöglicht, Remote-Code-Ausführung (RCE) auf dem PaperCut Application Server zu erreichen. Obwohl der Fehler vom Anbieter sofort behoben wurde, weisen die fortlaufenden Beobachtungen darauf hin, dass viele PaperCut-Server weiterhin anfällig für Angriffe sind, wobei bis heute zahlreiche Ausbeutungen in der freien Wildbahn beobachtet wurden.
Die im Rampenlicht stehende Sicherheitslücke resultiert aus einer unzureichenden Zugriffskontrolllücke in der SetupCompleted-Klasse von PaperCut MF/NG. Wird die Schwachstelle erfolgreich ausgenutzt, können Gegner die Authentifizierung umgehen und beliebigen Code mit Systemprivilegien aus der Ferne ausführen.
Bestätigt sind Versionen von PaperCut MF/NG 8.0 und höher betroffen, und das Sicherheitsproblem wurde im März 2023 mit der Veröffentlichung der Versionen 20.1.7, 21.2.11 und 22.0.9. behoben. Benutzer werden aufgefordert, ihre Instanzen so schnell wie möglich zu aktualisieren, um mögliche Angriffe auf ihre Infrastruktur zu verhindern.
Kürzlich haben Horizon3 eine öffentliche Analyse des berüchtigten Fehlers veröffentlicht, begleitet von einem PoC-Exploit. Mit diesem PoC in der Hand könnten Angreifer RCE erlangen, indem sie die integrierte „Scripting“-Funktionalität für Drucker ausnutzen. Forscher von Huntress analysierten die Sicherheitslücke ebenfalls und stehen kurz davor, ein Demo-Video eines weiteren PoC zu veröffentlichen. Die Analyse von Huntress weist auch darauf hin, dass Clop-Ransomware-Betreiber möglicherweise mit den neuesten Cyberangriffen in Verbindung stehen, die sich auf den kritischen PaperCut-Fehler stützen. Insbesondere geht die analysierte Angriffskette davon aus, CVE-2023-27350 zu verwenden, um PowerShell auszuführen und Atera- und Syncro-Fernverwaltungssoftware zu installieren. Die Eindringlinge nutzten die
Domain, dieselbe, die TrueBot-Downloader hostet und ablegt, der häufig verwendet wird, um Clop-Ransomware auszuliefern. Angesichts der erheblichen Bedrohung, die durch diese Schwachstelle ausgeht, hat CISA CVE-2023-27350 in seinen KEV-Katalog aufgenommen und Bundesbehörden aufgefordert, ihre Instanzen bis zum 12. Mai 2023 zu patchen..
Vertrauen Sie auf SOC Prime, um umfassend mit Erkennungsinhalten für jede ausnutzbare CVE und jede in Cyberangriffen verwendete TTP ausgestattet zu sein. Erhalten Sie Zugriff auf über 800 Regeln für aufkommende und etablierte Schwachstellen, um bösartiges Verhalten sofort zu identifizieren und Bedrohungen rechtzeitig zu beheben. Erhalten Sie über 140 Sigma-Regeln kostenlos unter
oder erreichen Sie die gesamte Liste der relevanten Erkennungsalgorithmen, indem Sie die On-Demand-Abonnement wählen, die auf Ihre Sicherheitsanforderungen zugeschnitten ist bei oder erreichen Sie die gesamte Liste der relevanten Erkennungsalgorithmen, indem Sie die On-Demand-Abonnement wählen, die auf Ihre Sicherheitsanforderungen zugeschnitten ist bei https://my.socprime.com/pricing/ https://my.socprime.com/pricing/.
