El proveedor de software de gestión de impresión PaperCut dijo que tiene «evidencia que sugiere que los servidores sin parches están siendo explotados en la naturaleza», citando dos informes de vulnerabilidad de la empresa de seguridad cibernética Trend Micro.
«PaperCut ha realizado un análisis de todos los informes de los clientes, y la primera firma de actividad sospechosa en un servidor de cliente potencialmente vinculado a esta vulnerabilidad es el 14 de abril a las 01:29 AEST / 13 de abril a las 15:29 UTC», agregó. agregado.
La actualización se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó una falla crítica de control de acceso inadecuado (CVE-2023-27350, puntaje CVSS: 9.8) en PaperCut MF y NG al catálogo de Vulnerabilidades Conocidas Explotadas (KEV), basado en pruebas de explotación activa.
La empresa de seguridad cibernética Huntress, que encontró alrededor de 1800 servidores PaperCut expuestos públicamente, dijo que observó que se generaban comandos de PowerShell desde el software PaperCut para instalar software de gestión y mantenimiento remoto (RMM) como Atera y Syncro para acceso persistente y ejecución de código en los hosts infectados.
El análisis de infraestructura adicional ha revelado el dominio que aloja las herramientas: windowservicecemter[.]com: se registró el 12 de abril de 2023 y también alberga malware como TrueBot, aunque la compañía dijo que no detectó directamente la implementación del descargador.
TrueBot se atribuye a una entidad criminal rusa conocida como Silence, que a su vez tiene vínculos históricos con Evil Corp y su grupo superpuesto TA505, el último de los cuales facilitó la distribución del ransomware Cl0p en el pasado.
«Si bien se desconoce el objetivo final de la actividad actual que aprovecha el software de PaperCut, estos enlaces (aunque algo circunstanciales) a una entidad de ransomware conocida son preocupantes», dijeron los investigadores de Huntress. dicho.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
«Potencialmente, el acceso obtenido a través de la explotación de PaperCut podría usarse como un punto de apoyo que conduzca al movimiento de seguimiento dentro de la red de la víctima y, en última instancia, al despliegue del ransomware».
Se recomienda a los usuarios que actualicen a las versiones fijas de PaperCut MF y NG (20.1.7, 21.2.11 y 22.0.9) lo antes posible, independientemente de si el servidor está «disponible para conexiones externas o internas», para mitigar riesgos potenciales.
Se recomienda a los clientes que no puedan actualizar a un parche de seguridad que bloqueen el acceso a la red a los servidores bloqueando todo el tráfico entrante de IP externas y limitando las direcciones IP a solo aquellas que pertenecen a servidores de sitios verificados.