Ошибка может привести к развертыванию Cobalt Strike и шпионских программ.
Эксперты Horizon3 Для просмотра ссылки Войдиили Зарегистрируйся уязвимости программного обеспечения для управления печатью PaperCut MF/NG. Исследователи Horizon3 также поделились индикаторами компрометации ( IoC ) для атак.
По данным Horizon3, Для просмотра ссылки Войдиили Зарегистрируйся существует в классе SetupCompleted. Проблема возникает из-за неправильного контроля доступа. PoC позволяет злоумышленнику обходить аутентификацию и выполнять код в контексте SYSTEM на уязвимых серверах PaperCut. PoC использует уязвимость обхода аутентификации, связанную со злоупотреблением встроенными функциями сценариев для выполнения кода.
<iframe width="640" height="360" src="
" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen="" title="PaperCut CVE-2023-27350 Proof-of-Concept Exploitation"> </iframe>
Кроме того, специалисты Huntress , Для просмотра ссылки Войдиили Зарегистрируйся , наблюдали PowerShell-команды, порождаемые программным обеспечением PaperCut для установки RMM-ПО, такого как Atera и Syncro, чтобы обеспечить постоянство доступа и выполнения вредоносного кода на заражённых хостах.
Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot , хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.
Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.
Эксперты Horizon3 Для просмотра ссылки Войди
По данным Horizon3, Для просмотра ссылки Войди
<iframe width="640" height="360" src="
Кроме того, специалисты Huntress , Для просмотра ссылки Войди
Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot , хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.
Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.
- Источник новости
- www.securitylab.ru