Rilevamento Exploit CVE-2023-27350: Vulnerabilità RCE Critica di PaperCut Aggiunta al Catalogo delle Vulnerabilità Sfruttate Note della CISA
Indice:
PaperCut ha recentemente segnalato che i server applicativi dell’azienda sono vulnerabili a una grave falla RCE nota come CVE-2023-27350, con un CVSS di 9.8. In risposta a un numero crescente di tentativi di sfruttamento, CISA ha aggiunto il bug scoperto al suo catalogo delle Note Vulnerabilità Sfruttate (KEV).
Rilevazione dei Tentativi di Sfruttamento di CVE-2023-27350
Il rilevamento proattivo dello sfruttamento delle vulnerabilità è rimasto uno dei principali contenuti prioritari dal 2021 a causa di un numero crescente di CVE scoperti che compromettono ampiamente le soluzioni software utilizzate e che vengono attivamente sfruttati in attacchi nel mondo reale. Con il grave difetto CVE-2023-27350 di PaperCut sfruttato attivamente in natura, i difensori informatici cercano modi per identificare tempestivamente l’infezione. Il team di SOC Prime ha recentemente rilasciato una nuova regola Sigma, che identifica possibili tentativi di bypass dell’autenticazione nel software di gestione della stampa di PaperCut, collegati ai modelli di sfruttamento del CVE-2023-27350:
Possibile Tentativo di Sfruttamento di PaperCut CVE-2023-27350 (tramite webserver)
Questa regola Sigma è allineata con il framework MITRE ATT&CK v12, affrontando la tattica di Accesso Iniziale con la tecnica corrispondente Sfruttare Applicazioni Pubblicamente Accessibili (T1190) e può essere applicata su soluzioni leader nel settore come SIEM, EDR, XDR e BDP.
Per essere sempre aggiornati su una valanga di vulnerabilità critiche sfruttate dagli aggressori e che espongono le organizzazioni a gravi minacce, SOC Prime consente ai difensori informatici di accedere istantaneamente a contenuti di rilevamento pertinenti e ottimizzare il loro profilo di cybersecurity in base ai rischi. Clicca sul Esplora Rilevamenti pulsante qui sotto per accedere alla collezione completa di regole Sigma per il rilevamento dei CVE arricchite con riferimenti CTI e ATT&CK e altro contesto pertinente di minaccia informatica per un’analisi delle minacce semplificata.
Analisi di CVE-2023-27350
PaperCut MF/NG è un popolare sistema di gestione della stampa con oltre 100 milioni di utenti attivi provenienti da oltre 70.000 organizzazioni a livello globale. Nel gennaio 2023, i ricercatori della sicurezza informatica hanno rivelato e segnalato un bug (CVE-2023-27350) che consente a hacker non autenticati di ottenere l’esecuzione remota di codice (RCE) sul server dell’applicazione PaperCut. Sebbene il bug sia stato immediatamente corretto dal fornitore, le osservazioni in corso indicano che molti server PaperCut rimangono suscettibili agli attacchi, con numerose esploitazioni nel mondo reale osservate fino ad oggi.
La lacuna di sicurezza sotto i riflettori deriva da una mancanza di controllo accessi nella classe SetupCompleted di PaperCut MF/NG. Se sfruttata con successo, la falla consente agli avversari di aggirare l’autenticazione ed eseguire codice arbitrario con i privilegi di sistema da remoto.
Le versioni di PaperCut MF/NG dalla 8.0 in poi sono confermate come affette, e il problema di sicurezza è stato affrontato nel marzo 2023 con il rilascio delle versioni 20.1.7, 21.2.11 e 22.0.9. Gli utenti sono invitati ad aggiornare le loro istanze il prima possibile per prevenire possibili attacchi contro la loro infrastruttura.
Recentemente Horizon3 ha emesso un’analisi pubblica della famigerata falla accompagnata da un exploit PoC. Con questo PoC in mano, gli aggressori potrebbero ottenere RCE abusando della funzionalità di “Scripting” integrata per le stampanti. Inoltre, i ricercatori di Huntress hanno analizzato la lacuna di sicurezza e stanno per rilasciare un video demo di un altro PoC.
L’analisi di Huntress evidenzia anche che gli operatori del ransomware Clop sono possibilmente collegati agli ultimi attacchi informatici che si basano sul grave bug di PaperCut. In particolare, la catena di attacco analizzata presume l’uso di CVE-2023-27350 per eseguire PowerShell e installare il software di gestione remota Atera & Syncro. Le intrusioni si basavano sul dominio windowservicecenter.com , lo stesso che ospitava e diffondeva il downloader TrueBot spesso utilizzato per distribuire ransomware Clop.
In vista della significativa minaccia rappresentata da tale vulnerabilità, CISA ha aggiunto CVE-2023-27350 al proprio catalogo KEV e ha esortato le agenzie federali a correggere le loro istanze entro il 12 maggio 2023.
Affidati a SOC Prime per essere pienamente equipaggiato con contenuti di rilevamento per qualsiasi CVE sfruttabile e qualsiasi TTP utilizzato negli attacchi informatici. Ottieni accesso a oltre 800 regole per vulnerabilità emergenti e consolidate per identificare istantaneamente comportamenti malevoli e affrontare tempestivamente le minacce. Ottieni oltre 140 regole Sigma gratuitamente a https://socprime.com/ o raggiungi l’intero elenco di algoritmi di rilevamento pertinenti scegliendo l’abbonamento On Demand su misura per le tue esigenze di sicurezza a https://my.socprime.com/pricing/.
