Los investigadores de ciberseguridad han encontrado una manera de explotar una falla crítica recientemente revelada en los servidores PaperCut de una manera que evita todas las detecciones actuales.
rastreado como CVE-2023-27350 (puntuación CVSS: 9,8), el problema afecta a las instalaciones de PaperCut MF y NG que podrían ser aprovechadas por un atacante no autenticado para ejecutar código arbitrario con privilegios de SISTEMA.
Mientras que la falla era parcheado por la empresa australiana el 8 de marzo de 2023, los primeros signos de explotación activa surgieron el 13 de abril de 2023.
Desde entonces, la vulnerabilidad ha sido armado por múltiples grupos de amenazas, incluidos los actores de ransomware, con actividad posterior a la explotación que da como resultado la ejecución de comandos de PowerShell diseñados para soltar cargas útiles adicionales.
Ahora, VulnCheck tiene publicado un exploit de prueba de concepto (PoC) que elude las firmas de detección existentes al aprovechar el hecho de que «PaperCut NG y MF ofrecen múltiples rutas para la ejecución del código».
Vale la pena señalar que las vulnerabilidades públicas para la falla usan la interfaz de secuencias de comandos de la impresora PaperCut para ejecutar comandos de Windows o soltar un archivo Java (JAR) malicioso.
Ambos enfoques, según VulnCheck, dejan huellas distintas en el Monitor de sistema de Windows (también conocido como sistema) servicio y el archivo de registro del servidor, sin mencionar el desencadenador firmas de red que puede detectar la omisión de autenticación.
Pero la firma de inteligencia de amenazas con sede en Massachusetts dijo que descubrió un nuevo método que abusa del software de gestión de impresión «Sincronización de usuario/grupo«, que permite sincronizar información de usuarios y grupos desde Active Directory, LDAP o una fuente personalizada.
Al optar por un fuente de directorio personalizado, los usuarios también pueden especificar un programa de autenticación personalizado para validar el nombre de usuario y la contraseña de un usuario. Curiosamente, los programas de usuario y de autenticación pueden ser cualquier ejecutable, aunque el programa de autenticación tiene que ser de naturaleza interactiva.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
El exploit PoC ideado por VulnCheck se basa en el programa de autenticación establecido como «/usr/sbin/python3» para Linux y «C:WindowsSystem32ftp.exe» para Windows. Todo lo que un atacante necesita para ejecutar código arbitrario es proporcionar un nombre de usuario y una contraseña maliciosos durante un intento de inicio de sesión, dijo la compañía.
El método de ataque podría explotarse para lanzar un shell inverso de Python en Linux o descargar un shell inverso personalizado alojado en un servidor remoto en Windows sin activar ninguna de las detecciones conocidas.
«Un usuario administrativo que ataca PaperCut NG y MF puede seguir varias rutas para la ejecución de código arbitrario», señaló VulnCheck.
«Las detecciones que se enfocan en un método de ejecución de código en particular, o que se enfocan en un pequeño subconjunto de técnicas utilizadas por un actor de amenazas, están condenadas a ser inútiles en la próxima ronda de ataques. Los atacantes aprenden de las detecciones públicas de los defensores, por lo que son los defensores». responsabilidad de producir detecciones sólidas que no se pasen por alto fácilmente».