MKD-CIRT National Centre for Computer Incident Response
Нова proof-of-concept (PoC) експлоатација за активно искористена PaperCut ранливост беше објавена која ги заобиколува сите познати правила за откривање.
PaperCut ранливоста, следена како CVE-2023-27350, е критичен неавтентициран remote code execution пропуст во PaperCut MF или NG верзиите 8.0 или понова која била искористена во ransomware напади.
Пропустот за прв пат беше откриен во март 2023 година, предупредувајќи дека им овозможува на напаѓачите да извршат код преку PaperCut вградениот скриптен интерфејс. Подоцнежното ажурирање на советот во април предупреди дека ранливоста активно се искористува во напади.
Истражувачите набрзо објавија PoC експлоатации за RCE пропустот, при што Microsoft потврди дека бил експлоатиран од страна на Clop и LockBit ransomware групите за првичен пристап неколку дена подоцна.
Оттогаш, повеќе безбедносни компании објавија правила за детекција за PaperCut експлоатацијата и индикатори за компромис, вклучувајќи детекција преку Sysmon, log датотеки и мрежни потписи.
Сепак, новиот метод на напад откриен од страна на VulnCheck кој може да ги заобиколи постоечките детекции, дозволувајќи им на напаѓачите непречено да го искористуваат CVE-2023-27350.
„Овој извештај покажува дека детекциите кои се фокусираат на еден метод на извршување код или се фокусираат на мала подгрупа техники што ги користи еден хакер, се бескорисни во следната рунда напади“, стои во извештајот на VulnCheck.
VulnCheck објаснува дека откривањата базирани на Sysmon кои се потпираат на анализата на создавање процес веќе се победени од постојните PoC-и кои користат алтернативни child процеси за креирање патеки.
Во случај на детекција на log датотеки, VulnCheck објаснува дека не може да им се верува како дефинитивни показатели за компромис, бидејќи тие го означуваат нормалното евидентирање на администраторите, плус постои начин да се искористи CVE-2023-27350 без да се остават записи во log датотеките.
Наместо да го користи вградениот интерфејс за скриптирање, новообјавениот PoC ја злоупотребува „User/Group Sync“ функцијата во PaperCut NG, што му овозможува на администраторот да наведе приспособена програма за автентикација на корисникот.
PoC на VulnCheck користи „/usr/sbin/python3“ за Linux и „C:\Windows\System32\ftp.exe“ за Windows и обезбедува малициозен влез што ќе изврши code execution во акредитациите при обид за најавување.
Овој пристап не создава директни child процеси или не генерира карактеристични записи во дневникот, така што Sysmon и Log File детекциите се заобиколуваат.
Што се однесува до методите за детектирање мрежен потпис, тие може тривијално да се заобиколат ако напаѓачот го измени малициозното HTTP барање со додавање дополнителна коса црта или произволен параметар во него.
Пристапот на VulnCheck ги комбинира сите горенаведени трикови за заобиколување за да се искористи ранливоста на PaperCut NG и MF без да се активираат аларми.
Истражувачите, исто така, објавија видео кое го демонстрира создавањето на reverse shell на целта.
Иако VulnCheck не обезбеди алтернативни методи за откривање кои функционираат за сите PoCs, тие предупредија дека напаѓачите внимателно ги следат методите за детекција што ги користат бранителите и ги прилагодуваат нивните напади за да ги направат незабележливи во секој случај.
Затоа, најдобриот начин да се справите со оваа закана е да ги примените препорачаните безбедносни ажурирања, кои се PaperCut MF и PaperCut NG верзии 20.1.7, 21.2.11 и 22.0.9 и понови.
Извор: BleepingComputer