Obtenga detalles técnicos sobre cómo los ciberdelincuentes atacan esta vulnerabilidad, a quién afecta y cómo detectar y protegerse contra esta amenaza de seguridad.
Varios grupos de ransomware y actores de amenazas de ciberespionaje patrocinados por el estado están explotando una vulnerabilidad que afecta a las herramientas de software de impresión PaperCut MF y PaperCut NG para comprometer sus objetivos. La Oficina Federal de Investigaciones y la Agencia de Seguridad de Infraestructura y Ciberseguridad emitieron un informe conjunto detallando esta vulnerabilidad, CVE-2023-27350.
El FBI y CISA afirman que existen dos pruebas de concepto conocidas públicamente para ejecutar código en el software vulnerable PaperCut. El primer método consiste en utilizar la interfaz de secuencias de comandos de impresión para ejecutar comandos de shell. El segundo implica el uso de la interfaz de sincronización de usuario/grupo para ejecutar un ataque living-off-the-land, que es un ataque cibernético que utiliza software legítimo y funciones disponibles en el sistema para realizar acciones maliciosas en él. El FBI y CISA afirman que los actores de amenazas pueden desarrollar otros métodos para la ejecución remota de código.
VER: Descubra cómo los métodos de seguridad tradicionales pueden no ser suficientes para la seguridad en la nube, según Palo Alto Networks.
Brindamos detalles técnicos adicionales sobre cómo los ciberdelincuentes atacan esta vulnerabilidad, a quién afecta y cómo detectar y protegerse contra esta amenaza de seguridad.
Salta a:
¿Qué es esta vulnerabilidad de PaperCut?
La nueva vulnerabilidad de PaperCut, CVE-2023-27350, afecta a diferentes software PaperCut MF y PaperCut NG, lo que permite a un atacante eludir la autenticación y ejecutar código arbitrario con privilegios de SISTEMA.
Un archivo pc-app.exe en servidores vulnerables de PaperCut se ejecuta con privilegios de nivel de sistema o de raíz, según la configuración, y puede explotarse para ejecutar otros procesos, como cmd.exe para la línea de comandos o powershell.exe para scripts de PowerShell. Esos procesos secundarios se benefician de los privilegios del archivo pc-app.exe, lo que permite a los atacantes ejecutar código con altos privilegios en el servidor.
PaperCut anunció la vulnerabilidad en marzo de 2023 y luego actualizó su sitio web para indicar que la compañía ahora tiene evidencia que sugiere que los servidores sin parches están siendo explotados en la naturaleza. Un banner en la parte superior del sitio de la empresa presenta un enlace a la comunicación, que está marcada como urgente para todos los clientes de PaperCut NG y MF. El parche está disponible desde marzo de 2023.
Otra vulnerabilidad que afecta al software PaperCut MF y NG, CVE-2023-27351, permite que un atacante no autenticado obtenga información como nombre de usuario, nombres completos, direcciones de correo electrónico, información de la oficina y cualquier número de tarjeta asociado con el usuario. Si bien PaperCut no tiene evidencia de que esta vulnerabilidad se use en la naturaleza, un tuit de Microsoft menciona el uso de la vulnerabilidad sin brindar mayor información al respecto.
Cómo los grupos de ransomware están explotando activamente esta vulnerabilidad
Según el FBI, el grupo de ransomware Bl00dy obtuvo acceso a las redes de las víctimas en el Subsector de Instalaciones Educativas, y algunos de estos ataques llevaron a la filtración de datos y el cifrado de esos sistemas. El actor de la amenaza deja una nota en los sistemas afectados solicitando el pago en criptomoneda (Figura A).
Figura A
El actor de amenazas explotó la vulnerabilidad de PaperCut a través de la interfaz de impresión del software para descargar y ejecutar un software legítimo de mantenimiento y administración remota para lograr su objetivo. El FBI incluso identificó información relacionada con la descarga y ejecución de malware, incluidas las balizas DiceLoader, TrueBot y Cobalt Strike; aunque todavía no está claro su uso.
Microsoft Threat Intelligence tuiteó sobre ataques recientes explotando la vulnerabilidad PaperCut para entregar el ransomware Clop desde el 13 de abril de 2023. Microsoft conoce al grupo detrás de esa operación como Lace Tempest, que anteriormente explotó GoAnywhere y Raspberry Robin para entregar malware. Microsoft también reportado sobre las implementaciones de Lockbit que usan la misma vulnerabilidad que el vector de compromiso inicial.
Microsoft tuitea sobre actores de amenazas de ciberespionaje
Con más de 70 000 organizaciones que usan PaperCut en más de 200 países, otros actores de amenazas se interesaron en explotar esta vulnerabilidad. CISA informa que el 68% de los servidores PaperCut expuestos en EE. UU. (esto incluye servidores vulnerables y no vulnerables) pertenecen al subsector de instalaciones educativas. PaperCut también tiene clientes en gobiernos locales, legal, ciencias de la vida, atención médica y educación superior, según su sitio web.
Microsoft tuiteó el 5 de mayo de 2023, que dos actores de amenazas de ciberespionaje patrocinados por el estado iraní, Mint Sandstorm (también conocido como Charming Kitten y Phosphorus) y Mango Sandstorm (también conocido como Muddy Water, Static Kitten y Mercury), han adaptado rápidamente el exploit en sus operaciones para lograr el acceso inicial después de que se publicaron las pruebas de concepto públicas (Figura B).
Figura B
Cómo detectar esta amenaza de ciberseguridad
El CISA ofrece varios métodos para detectar esta amenaza a la ciberseguridad.
Para empezar, los equipos de TI deben monitorear el tráfico de red que intenta acceder a la página Configuración completada de un servidor PaperCut vulnerable y expuesto; el CISA proporciona una Amenaza emergente de Proofpoint Suricata Signature para lograr esta detección. Los registros del servidor de aplicaciones PaperCut con el modo de depuración habilitado pueden ayudar a identificar las líneas que contienen SetupCompleted en un momento que no se correlaciona con la instalación o actualización del servidor, lo que podría ser una indicación de un compromiso.
Cualquier modificación de las claves de configuración print.script.sandboxed o device.script.sandboxed por parte del usuario administrador puede indicar un compromiso y debe verificarse cuidadosamente. Las modificaciones de los scripts de impresión en las impresoras por parte del administrador o el cambio de configuración de sincronización de usuario/grupo también pueden indicar un compromiso.
Además, los dominios asociados con la explotación reciente de PaperCut deben buscarse en los archivos de registro de DNS. El CISA proporciona una lista de esos dominios en su informe.
En los monitoreos del sistema, cualquier proceso secundario generado por el proceso pc-app.exe de un servidor PaperCut necesita un monitoreo cuidadoso, ya que podría indicar un compromiso exitoso, especialmente si inicia herramientas posteriores a la explotación como cmd.exe o PowerShell. La configuración del servidor de PaperCut y los archivos de registro deben analizarse exhaustivamente en busca de cualquier compromiso.
Cómo protegerse de esta amenaza de vulnerabilidad de PaperCut
Debe parchear los servidores PaperCut vulnerables lo antes posible para evitar que los atacantes exploten la vulnerabilidad CVE-2023-27350.
Si no es posible aplicar parches de manera oportuna, debe asegurarse de que los servidores vulnerables no sean accesibles desde Internet. Todo el tráfico entrante desde direcciones IP externas a los puertos de administración web, que son 9191 y 9192 de forma predeterminada, debe bloquearse.
Debe aplicar las restricciones de la lista de permitidos y configurar para permitir solo las direcciones IP de los servidores de sitios verificados en su red.
Como siempre, todos los sistemas y el software deben estar actualizados y parcheados para evitar verse comprometidos por una vulnerabilidad común.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
