A fabricante de software de gerenciamento de impressão PaperCut diz que os invasores estão explorando uma vulnerabilidade de segurança crítica para obter acesso a servidores não corrigidos nas redes dos clientes.
PaperCut oferece dois produtos de gerenciamento de impressão, PaperCut NG e PaperCut MF, usados por governos locais, grandes empresas e instituições de saúde e educação. O site da PaperCut diz que tem mais de 100 milhões de usuários de mais de 70.000 organizações em todo o mundo.
Em um comunicado na semana passada, a PaperCut disse que uma vulnerabilidade crítica corrigida no início de março estava sob ataque ativo contra máquinas que ainda não haviam instalado a atualização de segurança. A vulnerabilidade, rastreada como CVE-2023-27350, tem pontuação 9,8 de 10 possíveis em gravidade de vulnerabilidade, pois pode permitir que um invasor não autenticado execute remotamente código malicioso em um servidor sem precisar de credenciais.
PaperCut também soou o alarme sobre uma falha separada, mas semelhante em seu software, rastreada como CVE-2023-27351 com uma classificação de gravidade de vulnerabilidade de 8,2. O bug permite que hackers extraiam informações sobre usuários armazenados nos servidores PaperCut MF e NG de um cliente, incluindo nomes de usuário, nomes completos, endereços de e-mail, informações de departamento e números de cartões de pagamento associados às contas.
“Ambas as vulnerabilidades foram corrigidas nas versões PaperCut MF e PaperCut NG 20.1.7, 21.2.11 e 22.0.9 e posteriores”, disse a empresa. “É altamente recomendável atualizar para uma dessas versões que contêm a correção.
Desde a confirmação do PaperCut de ataques in-the-wild, a empresa de segurança cibernética Huntress disse que observou hackers explorando as vulnerabilidades para plantar software legítimo de gerenciamento remoto – Atera e Syncro – em servidores não corrigidos backdoor. A Huntress disse que detectou cerca de 1.800 servidores PaperCut expostos à Internet.
Huntress disse que os invasores usaram as ferramentas remotas para plantar malware conhecido como Truebot, que os pesquisadores dizem ser frequentemente usado pela gangue Clop, apoiada pela Rússia, antes de implantar o ransomware. Acredita-se também que Clop tenha usado o TrueBot como parte de seu ataque em massa aos clientes da ferramenta de transferência de arquivos GoAnywhere da Fortra.
“Embora o objetivo final da atividade atual que utiliza o software PaperCut seja desconhecido, esses links (embora um tanto circunstanciais) para uma entidade conhecida de ransomware são preocupantes”, escreveu Huntress. “Potencialmente, o acesso obtido através da exploração do PaperCut pode ser usado como ponto de apoio, levando a um movimento subsequente dentro da rede da vítima e, finalmente, à implantação do ransomware.”
A Huntress disse que criou uma exploração de prova de conceito inédita para avaliar a ameaça representada pelas duas vulnerabilidades. Na segunda-feira, pesquisadores da empresa de pentesting automatizada Horizon3 lançaram seu próprio código de exploração de prova de conceito para a vulnerabilidade com classificação 9,8.
A CISA adicionou a falha CVE-2023-27350 de maior gravidade à sua lista de vulnerabilidades exploradas ativamente na sexta-feira, ordenando que as agências federais protejam seus sistemas contra a exploração contínua dentro de três semanas até 12 de maio.