CVE-2023-27350 익스플로잇 탐지: CISA의 알려진 익스플로잇 취약점 목록에 추가된 심각한 PaperCut RCE 취약점

PaperCut은 최근 CVE-2023-27350으로 알려진 중요한 원격 코드 실행 결함에 취약한 애플리케이션 서버에 대해 보고했습니다. 이 결함은 CVSS 9.8을 기록했습니다. 증가하는 악용 시도에 대응하여 CISA는 발견된 버그를 알려진 취약점(Known Exploited Vulnerabilities, KEV) 카탈로그에 추가했습니다.. 

CVE-2023-27350 악용 시도 탐지

취약점 악용의 선제적 탐지는 항상 2021년 이후 가장 중요한 콘텐츠 우선 순위 중 하나입니다. 널리 사용되는 소프트웨어 솔루션을 취약하게 만들고 실제 공격에서 적극적으로 활용되는 CVE가 증가하고 있기 때문입니다. 중요한 PaperCut CVE-2023-27350 결함이 현장에서 적극적으로 악용됨에 따라, 사이버 수호자들은 감염을 적시에 식별할 수 있는 방법을 찾고 있습니다. SOC Prime 팀은 최근 CVE-2023-27350 악용 패턴과 관련된 PaperCut 출력 관리 소프트웨어에서 가능한 인증 우회 시도를 식별하는 신규 Sigma 규칙을 발표했습니다:

PaperCut CVE-2023-27350 악용 시도 가능성(웹 서버를 통해)

이 Sigma 규칙은 MITRE ATT&CK v12 프레임워크와 연결되어 있으며, 초기 액세스 전술과 관련된 공공 웹 애플리케이션 익스플로잇(T1190) 기술을 다루며, 업계 선도적인 SIEM, EDR, XDR, BDP 솔루션에 적용할 수 있습니다.

공격자가 무기화한 중요한 취약점의 급증에 항상 대비하기 위해 SOC Prime은 사이버 방어자들이 관련 탐지 콘텐츠를 즉시 얻고 사이버 보안 상태를 위험에 최적화하도록 지원합니다. 버튼 아래의 탐지 탐색 를 클릭하여, CTI 및 ATT&CK 참조와 기타 관련 사이버 위협 컨텍스트로 풍부해진 CVE 탐지를 위한 Sigma 규칙의 포괄적인 컬렉션에 액세스하십시오.

탐지 탐색

CVE-2023-27350 분석

PaperCut MF/NG는 전 세계 70,000개 이상의 조직에서 1억 명 이상의 활성 사용자를 보유한 인기 있는 출력 관리 시스템입니다. 2023년 1월, 사이버 보안 연구자들이 PaperCut 애플리케이션 서버에서 인증되지 않은 해커가 원격 코드 실행(RCE)을 달성할 수 있는 버그(CVE-2023-27350)를 발견하고 보고했습니다. 이 버그는 공급업체에 의해 즉시 패치되었지만, 많은 PaperCut 서버가 여전히 공격에 취약하며, 오늘날까지 여러 건의 현장 악용이 관찰되었습니다.

이목을 끄는 보안 격차는 PaperCut MF/NG의 SetupCompleted 클래스에서 적절하지 않은 액세스 제어 격차에서 비롯됩니다. 성공적으로 악용되면, 결함은 공격자가 인증을 우회하고 시스템 권한으로 임의의 코드를 원격으로 실행할 수 있게 합니다.

PaperCut MF/NG 버전 8.0 이상이 영향을 받았으며, 보안 문제는 2023년 3월에 버전 20.1.7, 21.2.11 및 22.0.9 출시와 함께 해결되었습니다. 사용자는 가능한 공격을 방지하기 위해 ASAP으로 인스턴스를 업데이트하라는 메시지를 받습니다.

최근 Horizon3은 악명 높은 결함의 공개 분석을 발행하고 PoC 익스플로잇과 함께 제공했습니다. 이 PoC를 통해 공격자는 프린터용 내장 ‘스크립팅’ 기능을 악용하여 RCE를 얻을 수 있습니다. 또한 Huntress의 연구자들은 a public analysis of the notorious flaw accompanied by a PoC exploit. With this PoC at hand, attackers might gain RCE by abusing built-in “Scripting” functionality for printers. Additionally, researchers from Huntress 보안 격차를 분석하고 있으며 다른 PoC의 데모 비디오를 곧 공개할 예정입니다. Huntress의 분석은 또한 Clop 랜섬웨어 운영자가 중요한 PaperCut 버그에 의존하는 최신 사이버 공격과 연결될 가능성을 제기합니다. 특히 분석된 공격 킬 체인은 CVE-2023-27350을 사용하여 PowerShell을 실행하고 Atera & Syncro 원격 관리 소프트웨어를 설치하는 것을 가정합니다. 침입은

The analysis by Huntress also points out that Clop ransomware operators are possibly linked to the latest cyber attacks relying on the critical PaperCut bug. Specifically, the analyzed attack kill chain presumes using CVE-2023-27350 to execute PowerShell and install Atera & Syncro remote management software. The intrusions relied on windowservicecenter.com 도메인을 활용했으며, 이는 TrueBot 다운로더를 호스팅하고 배포하는 데 자주 사용되는 같은 도메인입니다. Clop 랜섬웨어. 

이 취약점이 제기하는 상당한 위협을 감안할 때, CISA는 CVE-2023-27350을 KEV 카탈로그에 추가했고, 연방 기관들에게 2023년 5월 12일까지 인스턴스를 패치할 것을 권고했습니다.

SOC Prime을 통해 모든 취약한 CVE 및 사이버 공격에서 사용되는 TTP에 대한 탐지 콘텐츠로 완전히 장비를 갖추십시오. 신속하게 악의적인 행동을 식별하고 즉각적인 위협 수정을 위해 800개 이상의 규칙에 액세스하십시오. 사이트에서 무료로 제공하는 140개 이상의 Sigma 규칙을 받으세요: https://socprime.com/ 또는 보안 요구에 맞춰진 온디맨드 구독을 선택하여 관련 탐지 알고리즘의 전체 목록에 액세스하세요: https://my.socprime.com/pricing/.