CVE-2023-27350: Exploit in corso della vulnerabilità legata all’esecuzione di codice in modalità remota di PaperCut

18/05/2023

Ultimo aggiornamento mercoledì 17 maggio 2023 18:35:01 GMT

CVE-2023-27350 è una vulnerabilità legata all’esecuzione di codice in modalità remota non autenticata nel software di gestione della stampa PaperCut MF/NG che consente agli aggressori di aggirare l’autenticazione ed eseguire codice arbitrario come SISTEMA su obiettivi vulnerabili.

È disponibile una patch per questa vulnerabilità e deve essere applicata in caso di emergenza.

Panoramica

La vulnerabilità è stata pubblicata nel marzo 2023 ed è ampiamente sfruttata in natura da un’ampia gamma di attori delle minacce, tra cui più APT e gruppi di ransomware come Cl0p e LockBit. Diverse altre società di sicurezza e testate giornalistiche hanno già pubblicato  articoli sull’uso di CVE-2023-27350 da parte di attori delle minacce, incluso il team di intelligence sulle minacce di Microsoft, che sta monitorando lo sfruttamento da parte di più attori delle minacce sponsorizzati dallo stato iraniano .

La US Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI hanno rilasciato un avviso congiunto l’11 maggio 2023 avvertendo che CVE-2023-27350 era stato sfruttato almeno da metà aprile e veniva utilizzato negli attacchi ransomware Bl00dy in corso contro “il Sottosettore delle strutture educative. Il loro avviso include indicatori di compromissione (IOC) e rafforza la necessità di patch immediate.

La superficie di attacco esposta a Internet per CVE-2023-27350 sembra essere modesta, con meno di 2.000 istanze vulnerabili di PaperCut identificate ad aprile 2023. Tuttavia, la società afferma di avere più di 100 milioni di utenti, il che è un forte motivatore per un vasta gamma di attori della minaccia.

Prodotti interessati

Secondo l’ avviso del fornitore , CVE-2023-27350 riguarda PaperCut MF o NG 8.0 e versioni successive su tutte le piattaforme. Questo include le seguenti versioni:

  • 8.0.0 a 19.2.7 (incluso)
  • 20.0.0 a 20.1.6 (incluso)
  • Dal 21.0.0 al 21.2.10 (compreso)
  • Dal 22.0.0 al 22.0.8 (compreso)

PaperCut ha una FAQ disponibile per i clienti alla fine del loro avviso . Tieni presente che l’aggiornamento a una versione fissa di PaperCut risolve sia CVE-2023-27350  che CVE-2023-27351 .

Clienti Rapid7

La seguente copertura di prodotti è disponibile per i clienti Rapid7:

InsightVM e Nexpose

Un controllo autenticato per CVE-2023-27350 su sistemi Windows e MacOS è disponibile per i clienti Nexpose e InsightVM a partire dal 28 aprile 2023.
Un controllo remoto e non autenticato per PaperCut MF dovrebbe essere spedito nella versione di solo contenuto del 17 maggio.

InsightIDR e rilevamento e risposta gestiti

La seguente regola è stata aggiunta per i clienti Rapid7 InsightIDR e Managed Detection and Response (MDR) e si attiverà in caso di comportamenti dannosi noti derivanti dallo sfruttamento di PaperCut:

  • Suspicious Process - PaperCut Process Spawning Powershell or CMD

 

Articolo originale di Caitlin Condon

Foto di Luca Bravo su Unsplash

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI