Der Hersteller von Druckverwaltungssoftware PaperCut sagt, dass Angreifer eine als kritisch eingestufte Sicherheitslücke ausnutzen, um Zugriff auf ungepatchte Server in Kundennetzwerken zu erhalten.
PaperCut bietet zwei Druckverwaltungsprodukte an, PaperCut NG und PaperCut MF, die von Kommunalverwaltungen, großen Unternehmen sowie Gesundheits- und Bildungseinrichtungen verwendet werden. Die Website von PaperCut gibt an, dass sie über 100 Millionen Benutzer aus mehr als 70.000 Organisationen weltweit hat.
In einem (n beratend Letzte Woche gab PaperCut bekannt, dass eine kritische Schwachstelle, die Anfang März gepatcht wurde, aktiv von Computern angegriffen wird, auf denen das Sicherheitsupdate noch installiert werden musste. Die Schwachstelle, verfolgt als CVE-2023-27350wird im Schweregrad der Schwachstelle mit 9,8 von 10 möglichen Punkten bewertet, da es einem nicht authentifizierten Angreifer ermöglichen könnte, bösartigen Code auf einem Server aus der Ferne auszuführen, ohne Anmeldeinformationen zu benötigen.
PaperCut schlug auch Alarm wegen eines separaten, aber ähnlichen Fehlers in seiner Software, der als verfolgt wurde CVE-2023-27351 mit einem Schweregrad der Schwachstelle von 8,2 von 10. Der Fehler ermöglicht es Hackern, Informationen über Benutzer zu extrahieren, die auf den PaperCut MF- und NG-Servern eines Kunden gespeichert sind, einschließlich Benutzernamen, vollständige Namen, E-Mail-Adressen, Abteilungsinformationen und mit den Konten verknüpfte Zahlungskartennummern.
„Diese beiden Schwachstellen wurden in den Versionen 20.1.7, 21.2.11 und 22.0.9 von PaperCut MF und PaperCut NG und höher behoben“, so das Unternehmen genannt. „Wir empfehlen dringend, auf eine dieser Versionen zu aktualisieren, die den Fix enthält.
Seit PaperCuts Bestätigung von In-the-Wild-Angriffen sagte das Cybersicherheitsunternehmen Huntress, es habe Hacker beobachtet, die die Schwachstellen ausnutzten, um legitime Remote-Management-Software – Atera und Syncro – auf ungepatchten Servern durch Hintertüren einzuschleusen. Huntress sagte, es habe etwa 1.800 dem Internet ausgesetzte PaperCut-Server entdeckt.
Huntress sagte, dass die Angreifer die Remote-Tools benutzten, um Malware namens Truebot einzuschleusen, die oft von der von Russland unterstützten Clop-Bande verwendet wird, bevor sie Ransomware einsetzt. Es wird auch angenommen, dass Clop Truebot als Teil seines Massen-Hacks verwendet hat, der auf Kunden von Fortras GoAnywhere-Dateiübertragungstool abzielt.
„Während das letztendliche Ziel der aktuellen Aktivität, die die Software von PaperCut nutzt, unbekannt ist, sind diese Links (wenn auch etwas umständlich) zu einer bekannten Ransomware-Entität besorgniserregend“, schrieb Huntress. „Möglicherweise könnte der durch die Ausnutzung von PaperCut erlangte Zugriff als Stützpunkt genutzt werden, der zu Folgebewegungen innerhalb des Opfernetzwerks und schließlich zum Einsatz von Ransomware führt.“
Huntress sagte, es habe einen unveröffentlichten Proof-of-Concept-Exploit erstellt, um die Bedrohung durch die beiden Schwachstellen zu bewerten. Am Montag haben Forscher der automatisierten Pentesting-Firma Horizon3 freigegeben einen eigenen Proof-of-Concept-Exploit-Code für die mit 9.8 bewertete Schwachstelle.
Die CISA hat am Freitag die Schwachstelle CVE-2023-27350 mit dem höchsten Schweregrad zu ihrer Liste der aktiv ausgenutzten Schwachstellen hinzugefügt. Bestellung Bundesbehörden, ihre Systeme innerhalb von drei Wochen bis zum 12. Mai gegen fortgesetzte Ausbeutung zu sichern.
