CVE-2023-27350 Exploit Detection: Critical PaperCut RCE Vulnerability Added to the CISA’s Known Exploited Vulnerabilities Catalog
Índice:
A PaperCut recentemente reportou que os servidores de aplicação da empresa estão vulneráveis a uma falha crítica de RCE conhecida como CVE-2023-27350, com um CVSS de 9.8. Em resposta a um número crescente de tentativas de exploração, a CISA adicionou o bug descoberto ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
Detectar Tentativas de Exploração CVE-2023-27350
A detecção proativa da exploração de vulnerabilidades manteve-se uma das principais prioridades de conteúdo desde 2021 devido a um número crescente de CVEs descobertas que comprometem soluções de software amplamente utilizadas e aproveitadas ativamente em ataques em ambiente selvagem. Com a falha crítica da PaperCut CVE-2023-27350 ativamente explorada em campo, defensores cibernéticos estão procurando maneiras de identificar a infecção a tempo. A equipe da SOC Prime lançou recentemente uma nova regra Sigma, que identifica possíveis tentativas de desvio de autenticação no software de gerenciamento de impressão PaperCut relacionadas aos padrões de exploração CVE-2023-27350:
Possível Tentativa de Exploração CVE-2023-27350 da PaperCut (via servidor web)
Esta regra Sigma está alinhada com o framework MITRE ATT&CK v12 abordando a tática de Acesso Inicial com a técnica correspondente Explorar Aplicações Publicamente Acessíveis (T1190) e pode ser aplicada em soluções de SIEM, EDR, XDR e BDP líderes de mercado.
Para sempre manter-se atualizado com uma avalanche de vulnerabilidades críticas armadas por atacantes e expondo organizações a ameaças severas, a SOC Prime permite aos defensores cibernéticos acessar instantaneamente conteúdos de detecção relevantes e otimizar o risco de sua postura de cibersegurança. Clique no Explorar Detecções botão abaixo para ganhar acesso à coleção abrangente de regras Sigma para detecção de CVE enriquecida com referências CTI e ATT&CK e outros contextos relevantes de ameaças cibernéticas para investigação de ameaças simplificada.
Análise CVE-2023-27350
PaperCut MF/NG é um sistema popular de gerenciamento de impressão com mais de 100 milhões de usuários ativos de mais de 70 mil organizações globalmente. Em janeiro de 2023, pesquisadores de segurança cibernética revelaram e reportaram um bug (CVE-2023-27350) que permite a hackers não autenticados alcançar execução remota de código (RCE) no Servidor de Aplicações PaperCut. Embora o bug tenha sido imediatamente corrigido pelo fornecedor, as observações contínuas apontam que muitos servidores PaperCut continuam suscetíveis a ataques, com muitas explorações em ambiente selvagem observadas até hoje.
A brecha de segurança em destaque origina-se de uma falha de controle de acesso inadequado na classe SetupCompleted do PaperCut MF/NG. Se explorada com sucesso, a falha permite que adversários contornem a autenticação e executem código arbitrário com privilégios de Sistema remotamente.
As versões 8.0 e posteriores do PaperCut MF/NG foram confirmadas como afetadas, e o problema de segurança foi abordado em março de 2023 com o lançamento das versões 20.1.7, 21.2.11 e 22.0.9. Os usuários são incentivados a atualizar suas instâncias o mais rápido possível para prevenir possíveis ataques contra sua infraestrutura.
Recentemente, a Horizon3 emitiu uma análise pública da famosa falha acompanhada por um exploit PoC. Com este PoC em mãos, os atacantes podem ganhar RCE abusando da funcionalidade embutida de ‘Scripting’ para impressoras. Além disso, pesquisadores da Huntress analisaram a brecha de segurança e estão prestes a lançar um vídeo demo de outro PoC.
A análise da Huntress também aponta que os operadores de ransomware Clop possivelmente estão ligados aos últimos ataques cibernéticos que dependem do bug crítico PaperCut. Especificamente, a cadeia de ataques analisada presume o uso do CVE-2023-27350 para executar PowerShell e instalar os softwares de gerenciamento remoto Atera & Syncro. As intrusões dependiam do domínio windowservicecenter.com , o mesmo que hospeda e distribui o downloader TrueBot, frequentemente usado para entregar o ransomware Clop..
Em vista da ameaça significativa representada por essa vulnerabilidade, a CISA adicionou o CVE-2023-27350 ao seu Catálogo KEV e instou as agências federais a corrigirem suas instâncias até 12 de maio de 2023.
Confie na SOC Prime para estar totalmente equipado com conteúdo de detecção para qualquer CVE explorável e qualquer TTP usado em ataques cibernéticos. Tenha acesso a mais de 800 regras para vulnerabilidades emergentes e estabelecidas para identificar instantaneamente comportamentos maliciosos e remediar ameaças a tempo. Obtenha mais de 140 regras Sigma gratuitamente em https://socprime.com/ ou acesse a lista completa de algoritmos de detecção relevantes escolhendo a assinatura On Demand adaptada às suas necessidades de segurança em https://my.socprime.com/pricing/.
