Un nouvel exploit de preuve de concept (PoC) pour une vulnérabilité PaperCut activement exploitée a été publié qui contourne toutes les règles de détection connues.
La vulnérabilité PaperCut, identifiée comme CVE-2023-27350, est une faille d’exécution de code à distance non authentifiée de gravité critique dans PaperCut MF ou NG versions 8.0 ou ultérieures qui a été exploitée dans des attaques de ransomware.
La faille a été révélée pour la première fois en mars 2023, avertissant qu’elle permet aux attaquants d’exécuter du code via l’interface de script intégrée de PaperCut. Une mise à jour ultérieure de l’avis en avril a averti que la vulnérabilité était activement exploitée dans des attaques.
Les chercheurs ont rapidement publié des exploits PoC pour la faille RCE, Microsoft confirmant qu’elle avait été exploitée par les gangs de rançongiciels Clop et LockBit pour un accès initial quelques jours plus tard.
Depuis lors, plusieurs sociétés de sécurité ont publié des règles de détection pour les exploits PaperCut et des indicateurs de compromission, notamment des détections via Sysmon, des fichiers journaux et des signatures réseau.
Cependant, une nouvelle méthode d’attaque découverte par VulnCheck peut contourner les détections existantes, permettant aux attaquants d’exploiter CVE-2023-27350 sans entrave.
« Ce rapport montre que les détections qui se concentrent sur une méthode d’exécution de code, ou qui se concentrent sur un petit sous-ensemble de techniques utilisées par un acteur de la menace, sont vouées à être inutiles lors de la prochaine série d’attaques », explique le rapport de VulnCheck.
Contournement des détections
VulnCheck explique que les détections basées sur Sysmon reposant sur l’analyse de la création de processus sont déjà dépassées par les PoC existants qui utilisent d’autres voies de création de processus enfants.
Dans le cas des détections de fichiers journaux, VulnCheck explique qu’on ne peut pas leur faire confiance en tant qu’indicateurs définitifs d’un compromis, car ils signalent la journalisation normale de l’utilisateur administrateur, et il existe un moyen d’exploiter CVE-2023-27350 sans laisser d’entrées dans les fichiers journaux.
Au lieu d’utiliser l’interface de script intégrée, le PoC nouvellement publié abuse de la fonctionnalité « User/Group Sync » dans PaperCut NG, qui permet à un utilisateur administrateur de spécifier un programme personnalisé pour l’authentification de l’utilisateur.
Le PoC de VulnCheck utilise « /usr/sbin/python3 » pour Linux et « C:\Windows\System32\ftp.exe » pour Windows et fournit l’entrée malveillante qui exécutera le code dans les informations d’identification lors d’une tentative de connexion.
Cette approche ne crée pas de processus enfants directs ni ne génère d’entrées de journal distinctes, de sorte que les détections Sysmon et Log File sont ignorées.
Quant aux méthodes de détection de signature réseau, celles-ci peuvent être trivialement contournées si l’attaquant modifie la requête HTTP malveillante en y ajoutant une barre oblique supplémentaire ou un paramètre arbitraire.
L’approche de VulnCheck combine toutes les astuces de contournement ci-dessus pour exploiter la vulnérabilité PaperCut NG et MF sans déclencher d’alarmes.
Les chercheurs ont également publié une vidéo démontrant la création d’un obus inversé sur la cible.
Bien que VulnCheck n’ait pas fourni de méthodes de détection alternatives qui fonctionnent pour tous les PoC, ils ont averti que les pirates surveillaient de près les méthodes de détection utilisées par les défenseurs et ajustent leurs attaques pour les rendre de toute façon indétectables.
Par conséquent, la meilleure façon de faire face à cette menace est d’appliquer les mises à jour de sécurité recommandées, qui sont PaperCut MF et PaperCut NG versions 20.1.7, 21.2.11 et 22.0.9 et versions ultérieures.