Detección de exploit CVE-2023-27350: Vulnerabilidad crítica RCE en PaperCut añadida al catálogo de vulnerabilidades explotadas conocidas de CISA
Tabla de contenidos:
PaperCut ha informado recientemente que los servidores de aplicaciones de la compañía son vulnerables a una falla crítica de RCE conocida como CVE-2023-27350, con un CVSS de 9.8. Como respuesta a un número creciente de intentos de explotación, CISA agregó el error descubierto a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
Detectar intentos de explotación de CVE-2023-27350
La detección proactiva de la explotación de vulnerabilidades ha sido una de las principales prioridades de contenido desde 2021 debido a un número creciente de CVE descubiertos que comprometen soluciones de software ampliamente utilizadas y son aprovechadas activamente en ataques en el entorno real. Con la falla crítica CVE-2023-27350 de PaperCut explotada activamente en el entorno real, los defensores cibernéticos están buscando maneras de identificar a tiempo la infección. El equipo de SOC Prime ha lanzado recientemente una nueva regla Sigma, que identifica posibles intentos de omisión de autenticación en el software de gestión de impresión de PaperCut relacionados con los patrones de explotación de CVE-2023-27350:
Posible intento de explotación CVE-2023-27350 de PaperCut (vía servidor web)
Esta regla Sigma está alineada con el marco MITRE ATT&CK v12 abordando la táctica de Acceso Inicial con la técnica correspondiente de Explotación de Aplicaciones Públicas (T1190) y se puede aplicar en soluciones líderes de la industria como SIEM, EDR, XDR y BDP.
Para siempre mantenerse al día con un aluvión de vulnerabilidades críticas armadas por atacantes y exponiendo a las organizaciones a amenazas severas, SOC Prime permite a los defensores cibernéticos alcanzar instantáneamente contenido relevante de detección y optimizar su postura de ciberseguridad para el riesgo. Haga clic en el botón Explorar Detecciones a continuación para acceder a la colección integral de reglas Sigma para la detección de CVE enriquecida con referencias CTI y ATT&CK y otro contexto relevante de amenazas cibernéticas para una investigación de amenazas simplificada.
Análisis de CVE-2023-27350
PaperCut MF/NG es un sistema de gestión de impresiones popular con más de 100 millones de usuarios activos de más de 70,000 organizaciones en todo el mundo. En enero de 2023, investigadores de ciberseguridad revelaron e informaron un error (CVE-2023-27350) que permite a hackers no autenticados lograr la ejecución remota de código (RCE) en el Servidor de Aplicaciones de PaperCut. Aunque el error fue parcheado de inmediato por el proveedor, las observaciones en curso indican que muchos servidores de PaperCut siguen siendo susceptibles a ataques, con muchas explotaciones en el entorno real observadas hasta la fecha.
La brecha de seguridad en el centro de atención surge de un fallo de control de acceso inadecuado en la clase SetupCompleted de PaperCut MF/NG. Si se explota con éxito, la falla permite a los adversarios omitir la autenticación y ejecutar código arbitrario con privilegios de Sistema de manera remota.
Las versiones 8.0 y posteriores de PaperCut MF/NG se confirmaron como afectadas, y el problema de seguridad fue abordado en marzo de 2023 con el lanzamiento de las versiones 20.1.7, 21.2.11 y 22.0.9. Se insta a los usuarios a actualizar sus instancias lo antes posible para prevenir posibles ataques contra su infraestructura.
Recientemente Horizon3 emitió un análisis público de la falla notoria acompañado de un exploit PoC. Con este PoC a mano, los atacantes podrían obtener RCE abusando de la funcionalidad integrada de «Scripting» para impresoras. Además, los investigadores de Huntress analizaron la brecha de seguridad y están a punto de lanzar un video demostrativo de otro PoC.
El análisis de Huntress también señala que los operadores de ransomware Clop están posiblemente vinculados a los últimos ciberataques que dependen del error crítico de PaperCut. Específicamente, la cadena de ataque analizada presume el uso de CVE-2023-27350 para ejecutar PowerShell e instalar software de gestión remota Atera & Syncro. Las intrusiones dependían del dominio windowservicecenter.com el mismo que aloja y descarga el downloader TrueBot frecuentemente utilizado para entregar ransomware Clop.
En vista de la significativa amenaza que supone esta vulnerabilidad, CISA ha agregado CVE-2023-27350 a su catálogo KEV e instó a las agencias federales a parchear sus instancias para el 12 de mayo de 2023.
Confíe en SOC Prime para estar completamente equipado con contenido de detección para cualquier CVE explotable y cualquier TTP utilizado en ciberataques. Acceda a más de 800 reglas para vulnerabilidades emergentes y establecidas para identificar instantáneamente comportamientos maliciosos y remediar a tiempo las amenazas. Obtenga más de 140 reglas Sigma gratis en https://socprime.com/ o acceda a la lista completa de algoritmos de detección relevantes eligiendo la suscripción bajo demanda adaptada a sus necesidades de seguridad en https://my.socprime.com/pricing/.
