Le fabricant de logiciels de gestion d’impression PaperCut affirme que les attaquants exploitent une vulnérabilité de sécurité critique pour accéder à des serveurs non corrigés sur les réseaux des clients.
PaperCut propose deux produits de gestion d’impression, PaperCut NG et PaperCut MF, utilisés par les administrations locales, les grandes entreprises et les établissements de santé et d’éducation. Le site Web de PaperCut indique qu’il compte plus de 100 millions d’utilisateurs de plus de 70 000 organisations dans le monde.
Dans un consultatif La semaine dernière, PaperCut a déclaré qu’une vulnérabilité critique corrigée plus tôt en mars faisait l’objet d’une attaque active contre des machines qui n’avaient pas encore installé la mise à jour de sécurité. La vulnérabilité, suivie comme CVE-2023-27350est noté 9,8 sur 10 possibles en termes de gravité de vulnérabilité, car il pourrait permettre à un attaquant non authentifié d’exécuter à distance un code malveillant sur un serveur sans avoir besoin d’informations d’identification.
PaperCut a également tiré la sonnette d’alarme concernant une faille distincte mais similaire dans son logiciel, suivie comme CVE-2023-27351 avec un indice de gravité de la vulnérabilité de 8,2 sur 10. Le bogue permet aux pirates d’extraire des informations sur les utilisateurs stockées dans les serveurs PaperCut MF et NG d’un client, y compris les noms d’utilisateur, les noms complets, les adresses e-mail, les informations de service et les numéros de carte de paiement associés aux comptes.
« Ces deux vulnérabilités ont été corrigées dans PaperCut MF et PaperCut NG versions 20.1.7, 21.2.11 et 22.0.9 et ultérieures », a déclaré la société. a dit. « Nous vous recommandons fortement de passer à l’une de ces versions contenant le correctif.
Depuis la confirmation par PaperCut des attaques dans la nature, la société de cybersécurité Huntress a déclaré avoir observé des pirates exploitant les vulnérabilités pour implanter des logiciels de gestion à distance légitimes – Atera et Syncro – sur des serveurs non corrigés. Huntress a déclaré avoir détecté environ 1 800 serveurs PaperCut exposés à Internet.
Huntress a déclaré que les attaquants ont utilisé les outils à distance pour planter des logiciels malveillants connus sous le nom de Truebot, qui sont souvent utilisés par le gang Clop soutenu par la Russie avant de déployer des ransomwares. Clop aurait également utilisé Truebot dans le cadre de son piratage de masse ciblant les clients de l’outil de transfert de fichiers GoAnywhere de Fortra.
« Bien que l’objectif ultime de l’activité actuelle exploitant le logiciel de PaperCut soit inconnu, ces liens (quoique quelque peu circonstanciels) vers une entité ransomware connue sont préoccupants », a écrit Huntress. « Potentiellement, l’accès obtenu grâce à l’exploitation de PaperCut pourrait être utilisé comme un point d’ancrage menant à un mouvement de suivi au sein du réseau de la victime, et finalement au déploiement d’un ransomware. »
Huntress a déclaré avoir créé un exploit de preuve de concept inédit pour évaluer la menace posée par les deux vulnérabilités. Lundi, des chercheurs de la société de test automatisé Horizon3 libéré son propre code d’exploitation de preuve de concept pour la vulnérabilité notée 9.8.
Vendredi, la CISA a ajouté la faille CVE-2023-27350 la plus grave à sa liste de vulnérabilités activement exploitées, commande agences fédérales à sécuriser leurs systèmes contre une exploitation continue dans un délai de trois semaines avant le 12 mai.
