PaperCut a récemment corrigé une faille de sécurité critique dans son logiciel de gestion d’impression NG/MF qui permet à des attaquants non authentifiés d’obtenir l’exécution de code à distance sur des serveurs Windows non corrigés.
Suivie sous le nom de CVE-2023-39143, la faille résulte d’une chaîne de deux faiblesses de traversée de chemin découvertes par les chercheurs en sécurité d’Horizon3 qui permettent aux acteurs de la menace de lire, supprimer et télécharger des fichiers arbitraires sur des systèmes compromis à la suite d’attaques de faible complexité qui ne nécessitent pas interaction de l’utilisateur.
Bien qu’il n’affecte que les serveurs dans des configurations autres que celles par défaut où le paramètre d’intégration de périphérique externe est activé, Horizon3 a déclaré dans un rapport publié vendredi que la plupart des serveurs Windows PaperCut l’ont activé.
« Ce paramètre est activé par défaut avec certaines installations de PaperCut, telles que la version PaperCut NG Commercial ou PaperCut MF », a déclaré Horizon3.
« Sur la base d’échantillons de données que nous avons collectés chez Horizon3 à partir d’environnements réels, nous estimons que la grande majorité des installations PaperCut fonctionnent sous Windows avec le paramètre d’intégration de périphérique externe activé. »
Vous pouvez utiliser la commande suivante pour vérifier si un serveur est vulnérable aux attaques CVE-2023-39143 et s’exécute sous Windows (une réponse 200 indique que le serveur doit être corrigé) :
curl -w « %{http_code} » -k –path-as-is « https://<IP>:<port>/custom-report-example/..\..\..\deployment\sharp\icons\home-app.png »
Les administrateurs qui ne peuvent pas installer immédiatement les mises à jour de sécurité (comme le conseille Horizon3) peuvent ajouter uniquement les adresses IP qui ont besoin d’accéder à une liste d’autorisation à l’aide de ces instructions.
Une recherche Shodan montre qu’environ 1 800 serveurs PaperCut sont actuellement exposés en ligne, bien que tous ne soient pas vulnérables aux attaques CVE-2023-39143.
Ciblé par des gangs de rançongiciels, des pirates d’État
Les serveurs PaperCut ont été ciblés par plusieurs gangs de rançongiciels plus tôt cette année en exploitant une autre vulnérabilité RCE critique non authentifiée (CVE-2023-27350) et une faille de divulgation d’informations très grave (CVE-2023-27351).
La société a révélé le 19 avril que ces vulnérabilités étaient activement exploitées dans des attaques, exhortant les administrateurs et les équipes de sécurité à mettre à niveau leurs serveurs de toute urgence.
Quelques jours après la divulgation initiale, les chercheurs en sécurité d’Horizon3 ont publié un exploit RCE Proof-of-Concept (PoC), ouvrant la porte à d’autres acteurs de la menace pour cibler les serveurs vulnérables.
Microsoft a lié les attaques ciblant les serveurs PaperCut aux gangs de rançongiciels Clop et LockBit, qui ont utilisé l’accès pour voler des données d’entreprise à partir de systèmes compromis.
Dans ces attaques de vol de données, l’opération de rançongiciel a profité de la fonction « Print Archiving » qui enregistre tous les documents envoyés via les serveurs d’impression PaperCut.
Près de deux semaines plus tard, Microsoft a révélé que des groupes de piratage soutenus par l’État iranien suivis comme Muddywater et APT35 se sont également joints à l’assaut en cours.
La CISA a ajouté le bogue CVE-2023–27350 RCE à sa liste de vulnérabilités activement exploitées le 21 avril, ordonnant à toutes les agences fédérales américaines de sécuriser leurs serveurs d’ici le 12 mai 2023.