Détection d’Exploitation CVE-2023-27350 : Vulnérabilité RCE Critique dans PaperCut Ajoutée au Catalogue des Vulnérabilités Connues Explotées de la CISA
Table des matières :
PaperCut a récemment signalé que les serveurs d’applications de l’entreprise sont vulnérables à une faille RCE critique connue sous le nom de CVE-2023-27350, avec un CVSS de 9,8. En réponse à un nombre croissant de tentatives d’exploitation, la CISA a ajouté le bug découvert à son catalogue de Vulnérabilités Exploitées Connues (KEV).
Détecter les Tentatives d’Exploitation de CVE-2023-27350
La détection proactive de l’exploitation des vulnérabilités est restée l’une des principales priorités de contenu depuis 2021 en raison d’un nombre croissant de CVE découverts compromettant des solutions logicielles largement utilisées et activement exploitées dans des attaques à l’état sauvage. Avec la faille critique de PaperCut CVE-2023-27350 activement exploitée à l’état sauvage, les cyberdéfenseurs recherchent des moyens d’identifier l’infection en temps opportun. L’équipe SOC Prime a récemment publié une nouvelle règle Sigma, qui identifie les tentatives de contournement d’authentification possibles dans le logiciel de gestion d’impression PaperCut en lien avec les modèles d’exploitation de CVE-2023-27350 :
Tentative Possible d’Exploitation de CVE-2023-27350 de PaperCut (via le serveur web)
Cette règle Sigma est alignée avec le cadre MITRE ATT&CK v12 abordant la tactique d’Accès Initial avec la technique Exploiter une Application Face au Public (T1190) correspondante et peut être appliquée à des solutions SIEM, EDR, XDR, et BDP à la pointe de l’industrie.
Pour toujours suivre une avalanche de vulnérabilités critiques exploitées par les attaquants et exposant les organisations à de graves menaces, SOC Prime permet aux cyberdéfenseurs d’accéder instantanément à un contenu de détection pertinent et d’optimiser leur posture de sécurité en fonction des risques. Cliquez sur le Exploration des Détections bouton ci-dessous pour accéder à la collection complète de règles Sigma pour la détection de CVE enrichie de références CTI et ATT&CK et d’autres contextes pertinents de menaces cybernétiques pour une enquête sur les menaces rationalisée.
Analyse de CVE-2023-27350
PaperCut MF/NG est un système de gestion d’impression populaire avec plus de 100 millions d’utilisateurs actifs issus de plus de 70 000 organisations dans le monde entier. En janvier 2023, des chercheurs en cybersécurité ont révélé et signalé un bug (CVE-2023-27350) permettant à des hackers non authentifiés de réaliser une exécution de code à distance (RCE) sur le serveur d’application PaperCut. Bien que le bug ait été immédiatement corrigé par le fournisseur, les observations en cours indiquent que de nombreux serveurs PaperCut restent vulnérables aux attaques, avec de nombreuses exploitations à l’état sauvage observées à ce jour.
L’écart de sécurité mis en lumière provient d’un écart de contrôle d’accès inapproprié dans la classe SetupCompleted de PaperCut MF/NG. S’il est exploité avec succès, la faille permet aux adversaires de contourner l’authentification et d’exécuter du code arbitraire avec les privilèges Système à distance.
Les versions de PaperCut MF/NG 8.0 et ultérieures ont été confirmées comme étant affectées, et le problème de sécurité a été résolu en mars 2023 avec la sortie des versions 20.1.7, 21.2.11 et 22.0.9. Les utilisateurs sont incités à mettre à jour leurs instances dès que possible pour prévenir d’éventuelles attaques contre leur infrastructure.
Récemment, Horizon3 a publié une analyse publique de la notoire faille accompagnée d’un exploit PoC. Avec ce PoC en main, les attaquants pourraient obtenir un RCE en abusant de la fonctionnalité “Scripting” intégrée pour les imprimantes. De plus, les chercheurs de Huntress ont analysé l’écart de sécurité et sont sur le point de publier une vidéo de démonstration d’un autre PoC.
L’analyse par Huntress souligne également que les opérateurs de ransomware Clop sont possiblement liés aux dernières cyberattaques s’appuyant sur le bug critique PaperCut. Plus précisément, la chaîne d’attaque analysée présume l’utilisation de CVE-2023-27350 pour exécuter PowerShell et installer les logiciels de gestion à distance Atera & Syncro. Les intrusions reposaient sur le domaine windowservicecenter.com , le même hébergeant et déposant le téléchargeur TrueBot fréquemment utilisé pour livrer le ransomware Clop.
Compte tenu de la menace importante posée par cette vulnérabilité, la CISA a ajouté CVE-2023-27350 à son Catalogue KEV et a exhorté les agences fédérales à corriger leurs instances d’ici le 12 mai 2023.
Faites confiance à SOC Prime pour être entièrement équipé de contenu de détection pour toute CVE exploitable et tout TTP utilisé dans les cyberattaques. Accédez à plus de 800 règles pour des vulnérabilités émergentes et établies afin d’identifier instantanément un comportement malveillant et de remédier en temps opportun aux menaces. Obtenez plus de 140 règles Sigma gratuitement sur https://socprime.com/ ou accédez à l’ensemble complet des algorithmes de détection pertinents en choisissant l’abonnement On Demand adapté à vos besoins en sécurité sur https://my.socprime.com/pricing/.
