俄罗斯网络犯罪集团持续利用PaperCut漏洞

打印管理软件提供商PaperCut确认CVE-2023-27350漏洞正在被积极利用。

4月19日，打印管理软件供应商PaperCut确认其了解CVE-2023-27350漏洞的积极利用。

该公司收到了网络安全公司Trend Micro的两份关于PaperCut MF/NG中高/严重安全问题的漏洞报告。 

趋势科技宣布他们将在2023年5月10日披露有关该漏洞的更多信息（待定）。

该公司通过发布PaperCut MF和PaperCut NG版本20.1.7、21.2.11和22.0.9及更高版本解决了这两个漏洞，强烈建议升级到其中一个包含修复程序的版本 

“我们有证据表明未打补丁的服务器正在被野外利用。”“PaperCut于4月18日澳大利亚东部标准时间03:30/4月17日17:30 UTC收到了一位客户关于其PaperCut服务器上存在可疑活动的第一份报告。PaperCut对所有客户报告进行了分析，可能与此漏洞相关的客户服务器上可疑活动的最早签名是4月14日01:29 AEST/4月13日15:29 UTC。

CVE-2023-27350（CVSS 评分–9.8）是PaperCut MF/NG不当访问控制漏洞。PaperCut MF/NG在SetupCompleted类中包含一个不正确的访问控制漏洞，允许绕过身份验证并在系统上下文中执行代码。

上周，美国网络安全和基础设施安全局(CISA)将其添加到其已知利用漏洞目录中。

在攻击者利用上述PaperCut MF/NG漏洞后，Huntress研究人员观察到其合作伙伴环境中的利用后活动。

“从我们重新创建的概念验证中，我们观察到在pc-app.exe进程下生成的子进程。下面的屏幕截图展示了调用PowerShell调用另一个位置的简单测试，演示了实现的代码执行。”

研究人员注意到，托管攻击中使用的工具的域windowservicecemter[.]com于2023年4月12日注册。有趣的是，该域还托管了恶意软件TrueBot恶意软件的变体。

Truebot自2017年以来一直活跃，一些研究人员将其与俄罗斯沉默组织联系起来，而最近的一项调查将其与威胁演员TA505（又名Evil Corp）联系起来。

“虽然当前利用PaperCut软件的活动的最终目标尚不清楚，但这些与已知勒索软件实体的链接（尽管有些间接）令人担忧。潜在地，通过PaperCut利用获得的访问权限可以用作立足点，导致受害者网络内的后续行动，并最终部署勒索软件。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5621.html