Los atacantes están explotando vulnerabilidades graves en el software de gestión de impresión PaperCut MF/NG ampliamente utilizado para instalar el software de gestión remota Atera para hacerse cargo de los servidores.
El desarrollador del software afirma que es utilizado por más de 100 millones de usuarios de más de 70,000 compañías en todo el mundo.
Las dos fallas de seguridad (rastreadas como CVE-2023-27350 y CVE-2023-27351) permiten a los atacantes remotos eludir la autenticación y ejecutar código arbitrario en servidores PaperCut comprometidos con privilegios SYSTEM en ataques de baja complejidad que no requieren interacción del usuario.
«Ambas vulnerabilidades se han corregido en PaperCut MF y PaperCut NG versiones 20.1.7, 21.2.11 y 22.0.9 y posteriores. Recomendamos encarecidamente actualizar a una de estas versiones que contengan la solución», advirtió la compañía.
Exploit de prueba de concepto disponible
Hoy temprano, la firma de evaluación de superficie de ataque Horizon3 publicó una publicación de blog que contiene información técnica detallada y un exploit de prueba de concepto (PoC) CVE-2023-27350 que los atacantes podrían usar para eludir la autenticación y ejecutar código en servidores PaperCut sin parches.
Horizon3 dice que el exploit RCE ayuda a obtener «ejecución remota de código al abusar de la funcionalidad incorporada de ‘Scripting’ para impresoras».
Huntress también creó un exploit PoC para mostrar la amenaza que representan estos ataques en curso, pero aún no lo ha lanzado en línea (una demostración en video está disponible a continuación).
Si bien los servidores PaperCut sin parches ya están siendo atacados en la naturaleza, es probable que otros actores de amenazas también utilicen el código de explotación de Horizon3 en otros ataques.
Afortunadamente, una búsqueda en Shodan muestra que los atacantes podrían apuntar solo a alrededor de 1.700 servidores PaperCut expuestos a Internet.
CISA agregó la falla CVE-2023-27350 a su lista de vulnerabilidades explotadas activamente el viernes, ordenando a las agencias federales que protejan sus sistemas contra la explotación en curso dentro de las tres semanas para el 12 de mayo de 2023.
Huntress aconseja a los administradores que no puedan parchear rápidamente sus servidores PaperCut que tomen medidas para evitar la explotación remota.
Esto incluye bloquear todo el tráfico al puerto de administración web (puerto predeterminado 9191) desde direcciones IP externas en un dispositivo perimetral, así como bloquear todo el tráfico al mismo puerto en el firewall del servidor para restringir el acceso de administración únicamente al servidor y evitar posibles violaciones de la red.
Enlaces a Clop ransomware
Según los investigadores de seguridad de Huntress que han estado analizando la actividad posterior a la explotación vinculada a estos ataques en curso desde el 16 de abril, cuando se observaron los primeros ataques, los actores de amenazas han estado utilizando la falla para ejecutar comandos de PowerShell que instalan el software de administración remota Atera y Syncro.
Estos ataques fueron precedidos por el registro del dominio windowservicecenter.com el 12 de abril, que también se utilizó para alojar y entregar el descargador TrueBot, un malware vinculado al grupo de ciberdelincuencia Silence y utilizado para desplegar cargas útiles de ransomware Clop desde diciembre de 2022.
«Si bien se desconoce el objetivo final de la actividad actual que aprovecha el software de PaperCut, estos vínculos (aunque algo circunstanciales) a una entidad de ransomware conocida son preocupantes», dijo Huntress Labs.
«Potencialmente, el acceso obtenido a través de la explotación de PaperCut podría usarse como un punto de apoyo que conduzca al movimiento de seguimiento dentro de la red de la víctima y, en última instancia, al despliegue de ransomware».
