Vulnerabilidades en PaperCut explotadas para desplegar ransomware

    

INTRODUCCIÓN

Existen dos vulnerabilidades graves en el software PaperCut de gestión de impresiones. Una de estas vulnerabilidades es de severidad crítica, y la otra es de severidad alta.

Se han detectado diversas campañas con ataques que explotan estas vulnerabilidades con el objetivo de desplegar ransomware.

ANÁLISIS

Las vulnerabilidades reciben los siguientes identificadores y puntuaciones CVSS:

CVE-2023–27350 (CVSS 9,8):

Hay un fallo en el control de accesos de la clase SetupCompleted que, en ciertas circunstancias, permite a un atacante remoto no autenticado ejecutar código arbitrario en el contexto de SYSTEM.

CVE-2023-27351 (CVSS 8,2):

Hay un fallo en el control de accesos de la clase SecurityRequestFilter que, en ciertas circunstancias, permite a un atacante remoto no autenticado extraer información de todo tipo sobre usuarios guardados en Papercut MF o NG.

RECURSOS AFECTADOS

CVE-2023–27350:

Versión 8.0.0 a 19.2.7 (inclusive)
Versión 20.0.0 a 20.1.6 (inclusive)
Versión 21.0.0 a 21.2.10 (inclusive)
Versión 22.0.0 a 22.0.8 (inclusive)

CVE-2023–27351:

Versión 15.0.0 a 19.2.7 (inclusive)
Versión 20.0.0 a 20.1.6 (inclusive)
Versión 21.0.0 a 21.2.10 (inclusive)
Versión 22.0.0 a 22.0.8 (inclusive)

RECOMENDACIONES

Analice el servidor o servidores PaperCut con software antimalware actualizado, y actualice [3] el servidor o servidores a las versiones apropiadas, es decir:

20.1 >= 20.1.7

21.2 >= 21.2.11

22.0 >= 22.0.9

No se han descubierto otros workarounds, excepto cortar completamente el acceso al servidor PaperCut.

REFERENCIAS

[1] https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html

[2] https://www.papercut.com/kb/Main/PO-1216-and-PO-1219#product-status-and-next-steps

[3] https://www.papercut.com/kb/Main/Upgrading

[4] https://nvd.nist.gov/vuln/detail/CVE-2023-27350

[5] https://nvd.nist.gov/vuln/detail/CVE-2023-27351