CVE-2023-27350 エクスプロイト検出: CISAの既知の悪用脆弱性カタログに追加された重大なPaperCut RCE脆弱性

PaperCutは最近、同社のアプリケーションサーバーがCVE-2023-27350として知られる重大なRCEの脆弱性に対して脆弱であり、CVSSスコアは9.8であると報告しました。増加するエクスプロイト試行に対抗するために、CISAはこの発見されたバグを Known Exploited Vulnerabilities (KEV) カタログ. 

CVE-2023-27350エクスプロイト試行の検出

脆弱性エクスプロイトの予測的な検出は、 2021年以来のトップコンテンツ優先事項の一つ とされており、これは広く使用されているソフトウェアソリューションを危険にさらし、実際の攻撃で積極的に利用されるCVEの数が増えていることによります。重要なPaperCutのCVE-2023-27350の問題が実際の環境で積極的に利用されているため、サイバー防御者は感染をタイムリーに特定する方法を探しています。SOC Primeチームは最近、新しいSigmaルールをリリースし、CVE-2023-27350のエクスプロイトパターンに関連するPaperCutプリント管理ソフトウェアでの可能な認証バイパス試行を特定します：

PaperCut CVE-2023-27350 エクスプロイト試行の可能性（ウェブサーバー経由）

このSigmaルールは、MITRE ATT&CK v12フレームワークと一致し、Initial Accessタクティックおよび対応するExploit Public-Facing Application (T1190) 技法に対処しており、業界をリードするSIEM、EDR、XDR、BDPソリューション全体で適用可能です。

攻撃者によって武器化された重要な脆弱性の洪水を常に把握し、組織を重大な脅威にさらすことを防ぐため、SOC Primeはサイバー防御者が関連する検出コンテンツに即座にアクセスし、サイバーセキュリティ体制をリスク最適化できるようにしています。 検出を探す ボタンをクリックして、CVE検出のために強化されたSigmaルールの包括的なコレクションにアクセスし、CTIやATT&CKの参照情報やその他の関連するサイバー脅威コンテキストを備えて、脅威の調査を合理化します。

検出を探す

CVE-2023-27350の分析

PaperCut MF/NGは、世界中の70,000以上の組織で100M以上のアクティブユーザーを持つ人気のあるプリント管理システムです。2023年1月に、サイバーセキュリティの研究者がバグ（CVE-2023-27350）を明らかにし、報告しました。このバグにより、認証されていないハッカーがPaperCutアプリケーションサーバーでリモートコード実行（RCE）を達成できるようになります。ベンダーによって即座にパッチが適用されましたが、多くのPaperCutサーバーが依然として攻撃に対して脆弱であり、これまでに多くの実際のエクスプロイトが観察されています。

注目されるセキュリティギャップは、PaperCut MF/NGのSetupCompletedクラスにおける不適切なアクセス制御ギャップに由来しています。この脆弱性をうまく利用すると、敵は認証を回避し、System権限で任意のコードをリモートで実行することができます。

PaperCut MF/NGバージョン8.0以降が影響を受けることが確認されており、このセキュリティ問題は 2023年3月に、バージョン20.1.7、21.2.11、および22.0.9がリリースされ、対処されました。ユーザーはインフラストラクチャへの攻撃を防ぐためにASAPでインスタンスを更新するよう促されています。 in March 2023 with the release of versions 20.1.7, 21.2.11, and 22.0.9. Users are prompted to update their instances ASAP to prevent possible attacks against their infrastructure.

最近、Horizon3 は 悪名高い欠陥の公開分析をPoCエクスプロイトと共に発行しました。このPoCを使用することで、攻撃者はビルトインの「スクリプティング」機能を悪用してプリンタ用のRCEを取得する可能性があります。さらに、Huntressの研究者は セキュリティギャップを分析し、別のPoCのデモビデオをリリースする予定です。 Huntressの分析はまた、Clopランサムウェアオペレーターが重大なPaperCutバグに依存した最近のサイバー攻撃に関与している可能性を指摘しています。特に、分析された攻撃キルチェーンは、PowerShellを実行してAteraとSyncroのリモート管理ソフトウェアをインストールするためにCVE-2023-27350を使用することを前提としています。侵入は、TrueBotダウンローダーをホストし頻繁に提供する

The analysis by Huntress also points out that Clop ransomware operators are possibly linked to the latest cyber attacks relying on the critical PaperCut bug. Specifically, the analyzed attack kill chain presumes using CVE-2023-27350 to execute PowerShell and install Atera & Syncro remote management software. The intrusions relied on windowservicecenter.com ドメインに依存しており、これはClopランサムウェアを配信するためによく利用されています。 Clopランサムウェア. 

この脆弱性がもたらす重大な脅威を考慮して、CISAはCVE-2023-27350をそのKEVカタログに追加し、連邦機関に対して2023年5月12日までにインスタンスのパッチ適用を促しました。

SOC Primeを利用して、あらゆる利用可能なCVEやサイバー攻撃に使用されるTTPの検出コンテンツを完全に備えることができます。新たな脆弱性や確立された脆弱性に即座に対応し、悪意のある行動を特定し、脅威をタイムリーに修正するために800以上のルールにアクセスします。140以上のSigmaルールを無料で取得するには https://socprime.com/ or reach the entire list of relevant detection algorithms by choosing the On Demand subscription tailored to your security needs at https://my.socprime.com/pricing/.