专家发布主动利用PaperCut漏洞的PoC漏洞利用代码
威胁参与者正在利用 PaperCut MF/NG 打印管理软件漏洞进行野外攻击,同时研究人员发布了 PoC 漏洞利用代码。
黑客在野外攻击中积极利用PaperCut MF/NG打印管理软件缺陷(跟踪为CVE-2023-27350和CVE-2023-27351)。
观察到威胁行为者安装了Atera远程管理软件来接管易受攻击的服务器。
4月19日,打印管理软件供应商PaperCut确认其了解CVE-2023-27350漏洞的积极利用。
该公司收到了网络安全公司Trend Micro的两份关于PaperCut MF/NG中高/严重安全问题的漏洞报告。趋势科技宣布他们将在2023年5月10日披露有关该漏洞的更多信息(待定)。
该公司通过发布PaperCut MF和PaperCut NG版本20.1.7、21.2.11和22.0.9及更高版本解决了这两个漏洞,强烈建议升级到其中一个包含修复程序的版本
“我们有证据表明未打补丁的服务器正在被野外利用。”“PaperCut于4月18日澳大利亚东部标准时间03:30/4月17日17:30 UTC收到了一位客户关于其PaperCut服务器上存在可疑活动的第一份报告。PaperCut对所有客户报告进行了分析,可能与此漏洞相关的客户服务器上可疑活动的最早签名是4月14日01:29 AEST/4月13日15:29 UTC。
CVE-2023-27350(CVSS 评分–9.8)是PaperCut MF/NG不当访问控制漏洞。PaperCut MF/NG在SetupCompleted类中包含一个不正确的访问控制漏洞,允许绕过身份验证并在系统上下文中执行代码。
网络安全公司Horizon3披露了该漏洞的详细信息以及CVE-2023-27350的PoC利用代码。PoC代码允许攻击者绕过身份验证并在易受攻击的PaperCut服务器上执行代码。
“特定缺陷存在于SetupCompleted类中。该问题是由于访问控制不当造成的。攻击者可以利用此漏洞绕过身份验证并在 SYSTEM上下文中执行任意代码。”“将v19.2.7 中易受攻击的SetupCompleted 类与带有Meld的v21.2.11中的补丁版本进行比较 ,我们发现如果设置已经完成,访问该页面现在将重定向到“主页”页面——消除了会话令人费解的逻辑缺陷.
确认GUI中的身份验证绕过,我们浏览到页面http://10.0.40.56:9191/app?service=page/SetupComplete并单击“登录”。
专家们在GitHub上发布了完整的概念验证漏洞。https://github.com/horizon3ai/CVE-2023-27350
“此POC使用与滥用内置脚本功能相关联的身份验证绕过漏洞来执行代码。”
Horizon3研究人员还分享了针对利用PaperCut问题的攻击的妥协指标(IoC)。
在攻击者利用上述PaperCut MF/NG漏洞后,Huntress研究人员观察到其合作伙伴环境中的利用后活动。
“从我们重新创建的概念验证中,我们观察到在pc-app.exe 进程下生成的子进程。下面的屏幕截图展示了调用 PowerShell调用另一个位置的简单测试,演示了实现的代码执行。” 阅读女猎手发表的报告。”
研究人员注意到,托管攻击中使用的工具的域windowservicecemter[.]com于2023年4月12日注册。有趣的是,该域还托管了恶意软件TrueBot恶意软件的变体。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5626.html
