Новости Эксперты выпустили код PoC-эксплоит для активно эксплуатируемой уязвимости PaperCut

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Ошибка может привести к развертыванию Cobalt Strike и шпионских программ.


pxje2i1p4mj6tqv99r2rb1mimhkdhazb.jpg


Эксперты Horizon3 Для просмотра ссылки Войди или Зарегистрируйся уязвимости программного обеспечения для управления печатью PaperCut MF/NG. Исследователи Horizon3 также поделились индикаторами компрометации ( IoC ) для атак.

По данным Horizon3, Для просмотра ссылки Войди или Зарегистрируйся существует в классе SetupCompleted. Проблема возникает из-за неправильного контроля доступа. PoC позволяет злоумышленнику обходить аутентификацию и выполнять код в контексте SYSTEM на уязвимых серверах PaperCut. PoC использует уязвимость обхода аутентификации, связанную со злоупотреблением встроенными функциями сценариев для выполнения кода.

<iframe width="640" height="360" src="
" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen="" title="PaperCut CVE-2023-27350 Proof-of-Concept Exploitation"> </iframe>

Кроме того, специалисты Huntress , Для просмотра ссылки Войди или Зарегистрируйся , наблюдали PowerShell-команды, порождаемые программным обеспечением PaperCut для установки RMM-ПО, такого как Atera и Syncro, чтобы обеспечить постоянство доступа и выполнения вредоносного кода на заражённых хостах.

Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot , хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.

Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.
 
Источник новости
www.securitylab.ru

Похожие темы