Le FBI et la CISA ont publié un avis conjoint pour avertir que le gang Bl00dy Ransomware exploite également activement une vulnérabilité d’exécution de code à distance PaperCut pour obtenir un accès initial aux réseaux.

L’Agence américaine de cybersécurité et de sécurité des infrastructures mentionne que l’acteur de la menace a concentré ses attaques sur le secteur de l’éducation, qui a une exposition publique importante de la faille.

« Début mai 2023, selon les informations du FBI, le gang Bl00dy Ransomware a eu accès aux réseaux de victimes dans le sous-secteur des établissements d’enseignement où les serveurs PaperCut vulnérables à CVE-2023-27350 ont été exposés à Internet », lit-on dans l’avis de sécurité.

« En fin de compte, certaines de ces opérations ont conduit à l’exfiltration de données et au cryptage des systèmes victimes. »

La faille PaperCut est identifiée comme CVE-2023-27350 et est une faiblesse d’exécution de code à distance (RCE) de gravité critique affectant PaperCut MF et PaperCut NG, des logiciels de gestion d’impression utilisés par environ 70 000 organisations dans plus de 100 pays.

La vulnérabilité est exploitée activement depuis au moins le 18 avril 2023, environ un mois après sa divulgation publique en mars.

Bien que la vulnérabilité ait été corrigée dans les versions 20.1.7, 21.2.11 et 22.0.9 de PaperCut NG et MF, les entreprises ont mis du temps à installer la mise à jour, ce qui les a exposées aux attaques.

Microsoft a également signalé plus tôt cette semaine que des groupes de piratage iraniens, y compris le « Muddywater » parrainé par l’État, ont rejoint l’exploitation de CVE-2023-27350 pour contourner l’authentification des utilisateurs et réaliser une exécution à distance sur leurs cibles.

Malheureusement, la disponibilité d’exploits de preuve de concept (PoC) pour la faille PaperCut, dont certains sont moins détectés, augmente encore plus le risque pour les organisations.

Bl00dy contre l’éducation
Selon la CISA, le sous-secteur des établissements d’enseignement est responsable d’environ 68 % des serveurs PaperCut exposés à Internet. Cependant, le nombre de terminaux non corrigés et donc vulnérables est encore inconnu.

Les attaques de rançongiciel Bl00dy observées récemment ont réussi contre certaines cibles du secteur, tirant parti de CVE-2023-27350 pour contourner l’authentification des utilisateurs et accéder au serveur en tant qu’administrateurs.

Cet accès a ensuite été utilisé pour générer de nouveaux processus ‘cmd.exe’ et ‘powershell.exe’ avec les mêmes privilèges élevés pour accéder à distance à l’appareil et l’utiliser comme rampe de lancement pour se propager latéralement sur le réseau.

Pendant ce temps, les acteurs du ransomware volent des données et cryptent les systèmes cibles, laissant des notes exigeant un paiement en échange d’un décrypteur fonctionnel et la promesse de ne pas publier ou vendre les données volées.

L’opération de rançongiciel Bl00dy a été lancée en mai 2022 et utilise un chiffreur basé sur le code source LockBit divulgué plutôt que de développer son propre logiciel.

Ils ont également été vus en train d’utiliser des chiffreurs basés sur le code source divulgué de Babuk [VirusTotal] et Conti [VirusTotal].

Le bulletin de CISA fournit des détails complets sur les signes d’exploitation laissés sur les serveurs ciblés, les signatures de trafic réseau et les processus enfants qui doivent être surveillés pour aider les organisations à stopper ces attaques.

Cependant, l’action recommandée consiste toujours à appliquer les mises à jour de sécurité disponibles sur les serveurs PaperCut MF et NG, qui corrigent toutes les failles de sécurité exploitées par les acteurs de la menace.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *