El proveedor de software de gesti\u00f3n de impresi\u00f3n PaperCut dijo que tiene “evidencia que sugiere que los servidores sin parches est\u00e1n siendo explotados en la naturaleza”, citando dos informes de vulnerabilidad de la empresa de seguridad cibern\u00e9tica Trend Micro.<\/p>\n
“PaperCut ha realizado un an\u00e1lisis de todos los informes de los clientes, y la primera firma de actividad sospechosa en un servidor de cliente potencialmente vinculado a esta vulnerabilidad es el 14 de abril a las 01:29 AEST \/ 13 de abril a las 15:29 UTC”, agreg\u00f3. agregado<\/a>.<\/p>\n La actualizaci\u00f3n se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agreg\u00f3 una falla cr\u00edtica de control de acceso inadecuado (CVE-2023-27350, puntaje CVSS: 9.8) en PaperCut MF y NG al cat\u00e1logo de Vulnerabilidades Conocidas Explotadas (KEV), basado en pruebas de explotaci\u00f3n activa.<\/p>\n La empresa de seguridad cibern\u00e9tica Huntress, que encontr\u00f3 alrededor de 1800 servidores PaperCut expuestos p\u00fablicamente, dijo que observ\u00f3 que se generaban comandos de PowerShell desde el software PaperCut para instalar software de gesti\u00f3n y mantenimiento remoto (RMM) como Atera y Syncro para acceso persistente y ejecuci\u00f3n de c\u00f3digo en los hosts infectados.<\/p>\n El an\u00e1lisis de infraestructura adicional ha revelado el dominio que aloja las herramientas: windowservicecemter[.]com: se registr\u00f3 el 12 de abril de 2023 y tambi\u00e9n alberga malware como TrueBot, aunque la compa\u00f1\u00eda dijo que no detect\u00f3 directamente la implementaci\u00f3n del descargador.<\/p>\n