{"id":718071,"date":"2023-05-04T16:00:53","date_gmt":"2023-05-04T18:00:53","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-un-nouvel-exploit-pour-la-vulnerabilite-de-papercut-qui-peut-contourner-la-detection\/"},"modified":"2023-05-04T16:00:56","modified_gmt":"2023-05-04T18:00:56","slug":"des-chercheurs-decouvrent-un-nouvel-exploit-pour-la-vulnerabilite-de-papercut-qui-peut-contourner-la-detection","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-un-nouvel-exploit-pour-la-vulnerabilite-de-papercut-qui-peut-contourner-la-detection\/","title":{"rendered":"Des chercheurs d\u00e9couvrent un nouvel exploit pour la vuln\u00e9rabilit\u00e9 de PaperCut qui peut contourner la d\u00e9tection"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 \/ Vuln\u00e9rabilit\u00e9 du serveur<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont trouv\u00e9 un moyen d&#8217;exploiter une faille critique r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans les serveurs PaperCut d&#8217;une mani\u00e8re qui contourne toutes les d\u00e9tections actuelles.<\/p>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-27350\" target=\"_blank\">CVE-2023-27350<\/a> (score CVSS\u00a0: 9,8), le probl\u00e8me affecte les installations PaperCut MF et NG qui pourraient \u00eatre exploit\u00e9es par un attaquant non authentifi\u00e9 pour ex\u00e9cuter du code arbitraire avec les privil\u00e8ges SYSTEM.<\/p>\n<p>Alors que la faille \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/www.papercut.com\/kb\/Main\/PO-1216-and-PO-1219\" target=\"_blank\">patch\u00e9<\/a> par la soci\u00e9t\u00e9 australienne le 8 mars 2023, les premiers signes d&#8217;exploitation active sont apparus le 13 avril 2023.<\/p>\n<p>Depuis lors, la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2023\/04\/27\/increased-exploitation-of-papercut-drawing-blood-around-the-internet\/\" target=\"_blank\">arm\u00e9<\/a> par plusieurs groupes de menaces, y compris des acteurs de ran\u00e7ongiciels, avec une activit\u00e9 de post-exploitation entra\u00eenant l&#8217;ex\u00e9cution de commandes PowerShell con\u00e7ues pour supprimer des charges utiles suppl\u00e9mentaires.<\/p>\n<p>Maintenant, VulnCheck a <a rel=\"nofollow noopener\" href=\"https:\/\/vulncheck.com\/blog\/papercut-rce\" target=\"_blank\">publi\u00e9<\/a> un exploit de preuve de concept (PoC) qui contourne les signatures de d\u00e9tection existantes en tirant parti du fait que &#8220;PaperCut NG et MF offrent plusieurs chemins d&#8217;ex\u00e9cution de code&#8221;.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682937111_165_Un-acteur-vietnamien-de-la-menace-infecte-500-000-appareils.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il convient de noter que les exploits publics de la faille utilisent l&#8217;interface de script d&#8217;imprimante PaperCut pour soit <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/horizon3ai\/CVE-2023-27350\" target=\"_blank\">ex\u00e9cuter des commandes Windows<\/a> ou <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/rapid7\/metasploit-framework\/pull\/17936\" target=\"_blank\">d\u00e9poser un fichier d&#8217;archive Java (JAR) malveillant<\/a>.<\/p>\n<p>Ces deux approches, selon VulnCheck, laissent des empreintes distinctes dans le moniteur syst\u00e8me Windows (alias <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon\" target=\"_blank\">SysmonName<\/a>) service et le fichier journal du serveur, sans parler du d\u00e9clencheur <a rel=\"nofollow noopener\" href=\"https:\/\/rules.emergingthreats.net\/open\/suricata-5.0\/emerging-all.rules\" target=\"_blank\">signature r\u00e9seau<\/a> qui peut d\u00e9tecter le contournement d&#8217;authentification.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683223253_931_Des-chercheurs-decouvrent-un-nouvel-exploit-pour-la-vulnerabilite-de.png\" alt=\"Vuln\u00e9rabilit\u00e9 PaperCut\" border=\"0\" data-original-height=\"470\" data-original-width=\"728\" title=\"Vuln\u00e9rabilit\u00e9 PaperCut\"\/><\/div>\n<p>Mais la firme de renseignement sur les menaces bas\u00e9e dans le Massachusetts a d\u00e9clar\u00e9 avoir d\u00e9couvert une nouvelle m\u00e9thode qui abuse du logiciel de gestion d&#8217;impression &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.papercut.com\/help\/manuals\/ng-mf\/common\/sys-user-group-sync\/\" target=\"_blank\">Synchronisation utilisateur\/groupe<\/a>&#8220;, qui permet de synchroniser les informations sur les utilisateurs et les groupes \u00e0 partir d&#8217;Active Directory, de LDAP ou d&#8217;une source personnalis\u00e9e.<\/p>\n<p>Lorsqu&#8217;on opte pour un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/PaperCutSoftware\/CustomSynAndAuthentication\" target=\"_blank\">source de r\u00e9pertoire personnalis\u00e9e<\/a>, les utilisateurs peuvent \u00e9galement sp\u00e9cifier un programme d&#8217;authentification personnalis\u00e9 pour valider le nom d&#8217;utilisateur et le mot de passe d&#8217;un utilisateur.  Fait int\u00e9ressant, les programmes utilisateur et auth peuvent \u00eatre n&#8217;importe quel ex\u00e9cutable, bien que le programme auth doive \u00eatre de nature interactive.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>L&#8217;exploit PoC con\u00e7u par VulnCheck repose sur le programme d&#8217;authentification d\u00e9fini comme &#8220;\/usr\/sbin\/python3&#8221; pour Linux et &#8220;C:WindowsSystem32ftp.exe&#8221; pour Windows.  Tout ce dont un attaquant a besoin pour ex\u00e9cuter du code arbitraire est de fournir un nom d&#8217;utilisateur et un mot de passe malveillants lors d&#8217;une tentative de connexion, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>La m\u00e9thode d&#8217;attaque pourrait \u00eatre exploit\u00e9e pour lancer un reverse shell Python sur Linux ou t\u00e9l\u00e9charger un reverse shell personnalis\u00e9 h\u00e9berg\u00e9 sur un serveur distant sous Windows sans activer aucune des d\u00e9tections connues.<\/p>\n<p>&#8220;Un utilisateur administratif attaquant PaperCut NG et MF peut suivre plusieurs chemins vers l&#8217;ex\u00e9cution de code arbitraire&#8221;, a soulign\u00e9 VulnCheck.<\/p>\n<p>&#8220;Les d\u00e9tections qui se concentrent sur une m\u00e9thode d&#8217;ex\u00e9cution de code particuli\u00e8re, ou qui se concentrent sur un petit sous-ensemble de techniques utilis\u00e9es par un acteur de la menace sont vou\u00e9es \u00e0 \u00eatre inutiles lors de la prochaine s\u00e9rie d&#8217;attaques. Les attaquants apprennent des d\u00e9tections publiques des d\u00e9fenseurs, c&#8217;est donc aux d\u00e9fenseurs responsabilit\u00e9 de produire des d\u00e9tections robustes qui ne sont pas facilement contourn\u00e9es.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/researchers-uncover-new-exploit-for.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 mai 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 \/ Vuln\u00e9rabilit\u00e9 du serveur Les chercheurs en cybers\u00e9curit\u00e9 ont trouv\u00e9 un moyen d&#8217;exploiter une faille critique r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans les serveurs PaperCut d&#8217;une mani\u00e8re qui contourne toutes les d\u00e9tections actuelles. Suivi comme CVE-2023-27350 (score CVSS\u00a0: 9,8), le probl\u00e8me affecte les installations PaperCut MF et NG qui pourraient \u00eatre exploit\u00e9es par un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":718072,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,11696,4158,4165,4161,3073,133,41161,3010,4157,4159,4171,4170,4167,4160,716,4163,4162,157853,181,185,364,4172,4169,4166,3667,4164],"class_list":["post-718071","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-contourner","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvrent","tag-des","tag-detection","tag-exploit","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvel","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-papercut","tag-peut","tag-pour","tag-qui","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/718071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=718071"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/718071\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/718072"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=718071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=718071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=718071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}