L'entreprise de logiciels de gestion d'impression PaperCut a récemment alerté les utilisateurs au sujet de deux graves vulnérabilités qui permettent des attaques à distance. La CISA américaine a également confirmé l'exploitation active de l'une de ces vulnérabilités.
La CISA alerte sur les vulnérabilités de PaperCut MF/NG
PaperCut a récemment publié une mise à jour d'urgence pour ses utilisateurs, déployant des correctifs pour deux vulnérabilités graves.
Comme décrit dans son avis, PaperCut a révélé deux vulnérabilités différentes affectant son logiciel de gestion d'impression. En plus de détailler les failles, l'entreprise a également confirmé l'exploitation active de l'une de ces vulnérabilités, comme l'a alerté Trend Micro.
Concernant les failles, la première d'entre elles est une vulnérabilité d'exécution de code à distance (CVE-2023-27350) qui permet à un attaquant distant non authentifié de cibler le serveur d'application PaperCut. La faille a reçu une note de gravité critique avec un score CVSS de 9,8. PaperCut n'a pas divulgué plus de détails sur cette vulnérabilité, car elle a confirmé son exploitation active sur la base des rapports de Trend Micro.
Le deuxième problème (CVE-2023-27351) permet également aux attaques à distance d'un adversaire non authentifié de voler des informations sensibles stockées dans PaperCut MF ou NG. Cela inclut les noms d'utilisateur, les adresses électroniques, les noms complets, les numéros de carte et les détails du département ou du bureau des utilisateurs. Cette vulnérabilité a reçu une note de gravité élevée avec un score CVSS de 8,2. Heureusement, le bogue a reçu un correctif avant d'être exploité.
Suite à cette divulgation d'urgence, la société de cybersécurité a également partagé une analyse détaillée des attaques exploitant la faille RCE.
Selon leur rapport, les attaques ciblent apparemment environ 1800 serveurs PaperCut vulnérables, dont les attaquants abusent pour faire apparaître des outils RMM tels qu'Atero et Syncro sur les appareils cibles afin d'obtenir un accès persistant. Ils ont également partagé un PoC pour la faille.
Bien que l'identité exacte des acteurs de la menace qui exploitent cette vulnérabilité reste voilée, les chercheurs de Huntress soupçonnent des acteurs de la menace russes d'en être à l'origine. Brièvement, bien qu'ils ne soient pas directement liés, ils trouvent en quelque sorte le malware Truebot lié à cette activité, qui finit par remonter jusqu'au ransomware Cl0p et aux entités Silence.
La CISA alerte également sur les failles de PaperCut
La CISA américaine a également ajouté la vulnérabilité sous-attaque CVE-2023-27350 à sa liste de bogues activement exploités.
PaperCut a publié les correctifs pour les deux vulnérabilités dans les logiciels MF et NG avec les versions 20.1.7, 21.2.11 et 22.0.9, respectivement.
Bien que l'entreprise recommande vivement de déployer les mises à jour, elle a également conseillé quelques mesures de précaution pour les systèmes où une mise à jour immédiate n'est pas possible. Ces mesures d'atténuation comprennent le blocage du trafic entrant provenant d'IP externes vers les ports de gestion web 9191 et 9192, le blocage de tout le trafic entrant vers le portail de gestion web sur le pare-feu vers le serveur pour empêcher le mouvement latéral d'attaquants potentiels, et l'application d'une liste d'autorisation.
Fais-nous part de tes réflexions dans les commentaires.
