Identificato exploit Papercut con gravità 9.8
Il famoso software per la gestione delle stampe #Papercut è oggetto di un #exploit veramente rischioso.
Ancora una volta l’abuso riguarda macchine non aggiornate per cui esiste già da qualche tempo patch e per cui è attiva una relativa campagna di informazione.
Come da recente comunicato il prodotto PaperCut MF/NG può essere oggetto di sfruttamento per attacchi in the wild che riguardano:
- Vulnerabilità di esecuzione di codice in modalità remota (CVE-2023–27350 / ZDI-CAN-18987 con gravità 9.8 su 10)
- Vulnerabilità dei dati dell’account utente (CVE-2023–27351 / ZDI-CAN-19226)
L’exploit funziona aggiungendo voci dannose a uno degli script della stampante presenti per impostazione predefinita.
La patch risolutiva per i server esposti è già disponibile da marzo, tuttavia sono migliaia le macchine non ancora aggiornate e passibili di attacco.
Con una base installata di circa 100 milioni di utenti, il rischio potrebbe essere più elevato del previsto.
Al momento della pubblicazione di questo articolo tramite il motore di ricerca Shodan evidenziamo come circa 1500 istanze del software siano esposte su internet.
Sono già presenti prove di sfruttamento dell’exploit su server non patchati da parte di gruppi hacker come Silence e la nota ransomware gang Clop, per installare due software di gestione remota, noti come “Atera” e “Syncro”.
Una volta installati, i software di gestione remota vengono utilizzati per inoculare il Downloader di malware noto come Truebot.
Qui il bollettino ed il tutorial rilasciati da papercut in merito alla falla riscontrata e come ovviare:
https://www.papercut.com/kb/Main/PO-1216-and-PO-1219
Per un approfondimento su truebot invece:
https://www.bleepingcomputer.com/news/security/clop-ransomware-uses-truebot-malware-for-access-to-networks/
Patchare gente, patchare..
( forse potrebbe interessarvi anche: https://www.observere.com/microsoft-patch-tuesday-97-vulnerabilita-ed-una-zero-day/ )
#cyberthreat #cybersecurity #exploit #papercut #patch #ransomware #ransomgang #malware