Vulnerabilidades en PaperCut explotadas para desplegar ransomware
INTRODUCCIÓN
Existen dos vulnerabilidades graves en el software PaperCut de gestión de impresiones. Una de estas vulnerabilidades es de severidad crítica, y la otra es de severidad alta.
Se han detectado diversas campañas con ataques que explotan estas vulnerabilidades con el objetivo de desplegar ransomware.
ANÁLISIS
Las vulnerabilidades reciben los siguientes identificadores y puntuaciones CVSS:
CVE-2023–27350 (CVSS 9,8):
Hay un fallo en el control de accesos de la clase SetupCompleted que, en ciertas circunstancias, permite a un atacante remoto no autenticado ejecutar código arbitrario en el contexto de SYSTEM.
CVE-2023-27351 (CVSS 8,2):
Hay un fallo en el control de accesos de la clase SecurityRequestFilter que, en ciertas circunstancias, permite a un atacante remoto no autenticado extraer información de todo tipo sobre usuarios guardados en Papercut MF o NG.
RECURSOS AFECTADOS
CVE-2023–27350:
Versión 8.0.0 a 19.2.7 (inclusive)
Versión 20.0.0 a 20.1.6 (inclusive)
Versión 21.0.0 a 21.2.10 (inclusive)
Versión 22.0.0 a 22.0.8 (inclusive)
CVE-2023–27351:
Versión 15.0.0 a 19.2.7 (inclusive)
Versión 20.0.0 a 20.1.6 (inclusive)
Versión 21.0.0 a 21.2.10 (inclusive)
Versión 22.0.0 a 22.0.8 (inclusive)
RECOMENDACIONES
Analice el servidor o servidores PaperCut con software antimalware actualizado, y actualice [3] el servidor o servidores a las versiones apropiadas, es decir:
20.1 >= 20.1.7
21.2 >= 21.2.11
22.0 >= 22.0.9
No se han descubierto otros workarounds, excepto cortar completamente el acceso al servidor PaperCut.
REFERENCIAS
[1] https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html[2] https://www.papercut.com/kb/Main/PO-1216-and-PO-1219#product-status-and-next-steps[3] https://www.papercut.com/kb/Main/Upgrading[4] https://nvd.nist.gov/vuln/detail/CVE-2023-27350[5] https://nvd.nist.gov/vuln/detail/CVE-2023-27351