A PaperCut corrigiu recentemente uma vulnerabilidade crítica de segurança em seu software de gerenciamento de impressão NG/MF, que permite que invasores não autenticados obtenham execução remota de código em servidores Windows não corrigidos.
Rastreada como CVE-2023-39143, a falha resulta de uma cadeia de dois pontos fracos de passagem de caminho descobertos por pesquisadores de segurança do Horizon3 que permitem que os agentes de ameaças leiam, excluam e carreguem arquivos arbitrários em sistemas comprometidos após ataques de baixa complexidade que não exigem interação com o usuário.
Embora isso afete apenas servidores em configurações não padrão, onde a configuração de integração de dispositivo externo é alternada, a Horizon3 disse em um relatório publicado na sexta-feira que a maioria dos servidores Windows PaperCut o habilita.
"Essa configuração está ativada por padrão em certas instalações do PaperCut, como a versão comercial do PaperCut NG ou o PaperCut MF", disse Horizon3.
"Com base nos dados de amostra que coletamos no Horizon3 de ambientes do mundo real, estimamos que a grande maioria das instalações do PaperCut está sendo executada no Windows com a configuração de integração de dispositivo externo ativada."
Você pode usar o seguinte comando para verificar se um servidor é vulnerável a ataques CVE-2023-39143 e está sendo executado no Windows (uma resposta 200 indica que o servidor precisa de correção):
curl -w "%{http_code}" -k --path-as-is "https://
Os administradores que não podem instalar atualizações de segurança imediatamente (conforme o Horizon3 aconselha) podem adicionar apenas os endereços IP que precisam de acesso a uma lista de permissões usando estas instruções.
Uma pesquisa Shodan mostra que cerca de 1.800 servidores PaperCut estão atualmente expostos online, embora nem todos sejam vulneráveis a ataques CVE-2023-39143.
Servidores de impressão PaperCut expostos online (Shodan)
Alvo de gangues de ransomware, hackers estaduais
Os servidores PaperCut foram alvo de várias gangues de ransomware no início deste ano, explorando outra vulnerabilidade RCE não autenticada crítica (CVE-2023–27350) e uma falha de divulgação de informações de alta gravidade (CVE-2023–27351).
A empresa divulgou em 19 de abril que essas vulnerabilidades estavam sendo exploradas ativamente em ataques, pedindo aos administradores e equipes de segurança que atualizassem seus servidores com urgência.
Alguns dias após a divulgação inicial, os pesquisadores de segurança do Horizon3 lançaram um exploit RCE Proof-of-Concept (PoC), abrindo a porta para que agentes de ameaças adicionais visassem servidores vulneráveis.
A Microsoft vinculou os ataques direcionados aos servidores PaperCut às gangues de ransomware Clop e LockBit, que usaram o acesso para roubar dados corporativos de sistemas comprometidos.
Nesses ataques de roubo de dados, a operação de ransomware aproveitou o recurso 'Arquivamento de impressão', que salva todos os documentos enviados pelos servidores de impressão PaperCut.
Quase duas semanas depois, a Microsoft revelou que grupos de hackers apoiados pelo estado iraniano rastreados como Muddywater e APT35 também se juntaram ao ataque em andamento.
A CISA adicionou o bug CVE-2023–27350 RCE à sua lista de vulnerabilidades exploradas ativamente em 21 de abril, ordenando que todas as agências federais dos EUA protejam seus servidores até 12 de maio de 2023.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/new-papercut-critical-bug-exposes-unpatched-servers-to-rce-attacks/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #novo #bug #crítico #do #papercut #expõe #servidores #não #corrigidos #a #ataques #rce
Postar um comentário