Les attaquants exploitent de graves vulnérabilités dans le logiciel de gestion d’impression PaperCut MF/NG largement utilisé pour installer le logiciel de gestion à distance Atera afin de prendre le contrôle des serveurs.
Le développeur du logiciel affirme qu’il est utilisé par plus de 100 millions d’utilisateurs de plus de 70 000 entreprises dans le monde.
Les deux failles de sécurité (identifiées CVE-2023-27350 et CVE-2023-27351) permettent aux attaquants distants de contourner l’authentification et d’exécuter du code arbitraire sur des serveurs PaperCut compromis avec des privilèges SYSTEM dans des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.
« Ces deux vulnérabilités ont été corrigées dans PaperCut MF et PaperCut NG versions 20.1.7, 21.2.11 et 22.0.9 et ultérieures. Nous vous recommandons vivement de passer à l’une de ces versions contenant le correctif », a averti la société.
Exploit de preuve de concept disponible
Plus tôt dans la journée, la société d’évaluation de surface d’attaque Horizon3 a publié un article de blog contenant des informations techniques détaillées et un exploit de preuve de concept (PoC) CVE-2023-27350 que les attaquants pourraient utiliser pour contourner l’authentification et exécuter du code sur des serveurs PaperCut non corrigés.
Selon Horizon3, l’exploit RCE permet d’obtenir « l’exécution de code à distance en abusant de la fonctionnalité de ‘script’ intégrée pour les imprimantes ».
Huntress a également créé un exploit PoC pour montrer la menace posée par ces attaques en cours, mais ne l’a pas encore publié en ligne (une démo vidéo est disponible ci-dessous).
Alors que les serveurs PaperCut non corrigés sont déjà ciblés dans la nature, d’autres acteurs de la menace utiliseront probablement le code d’exploitation d’Horizon3 dans d’autres attaques.
Heureusement, une recherche Shodan montre que les attaquants ne pouvaient cibler qu’environ 1 700 serveurs PaperCut exposés à Internet.
Vendredi, la CISA a ajouté la faille CVE-2023-27350 à sa liste de vulnérabilités activement exploitées, ordonnant aux agences fédérales de sécuriser leurs systèmes contre une exploitation continue dans les trois semaines d’ici le 12 mai 2023.
Huntress conseille aux administrateurs incapables de corriger rapidement leurs serveurs PaperCut de prendre des mesures pour empêcher l’exploitation à distance.
Cela inclut le blocage de tout le trafic vers le port de gestion Web (port par défaut 9191) à partir d’adresses IP externes sur un périphérique de périphérie, ainsi que le blocage de tout le trafic vers le même port sur le pare-feu du serveur pour limiter l’accès de gestion uniquement au serveur et empêcher le réseau potentiel infractions.
Liens vers le rançongiciel Clop
Selon les chercheurs en sécurité de Huntress qui analysent l’activité post-exploitation liée à ces attaques en cours depuis le 16 avril, date à laquelle les premières attaques ont été observées, les acteurs de la menace utilisent la faille pour exécuter des commandes PowerShell qui installent les logiciels de gestion à distance Atera et Syncro.
Ces attaques ont été précédées de l’enregistrement du domaine windowservicecenter.com le 12 avril, qui a également été utilisé pour héberger et diffuser le téléchargeur TrueBot, un logiciel malveillant lié au groupe de cybercriminalité Silence et utilisé pour déployer les charges utiles du rançongiciel Clop depuis décembre 2022.
« Bien que l’objectif ultime de l’activité actuelle exploitant le logiciel de PaperCut soit inconnu, ces liens (quoique quelque peu circonstanciels) avec une entité rançongiciel connue sont préoccupants », a déclaré Huntress Labs.
« Potentiellement, l’accès obtenu grâce à l’exploitation de PaperCut pourrait être utilisé comme un point d’ancrage menant à un mouvement de suivi au sein du réseau de la victime, et finalement au déploiement d’un ransomware. »