PaperCut-Sicherheitslücke CVE-2023-27350: Erkennung von Exploits

logpoint-logo

Alon Schwartz, Security Analyst bei Logpoint

PaperCut ist eine beliebte Druckverwaltungssoftware, die von Tausenden von Unternehmen auf der ganzen Welt genutzt wird, um das Drucken einfacher und sicherer zu machen. Jüngste Berichte haben eine kritische Sicherheitslücke (CVE-2023-27350 mit einem CVSS-Score von 9.8) in der Software aufgedeckt, die aktiv von Bedrohungsakteuren wie Lace Tempest und Lokbits-Mitgliedern ausgenutzt wird, um Ransomware zu installieren. Die Schwachstelle ermöglicht es Angreifern, aus der Ferne beliebigen Code (RCE) auf anfälligen Systemen auszuführen, wodurch sie möglicherweise Zugriff auf sensible Daten erhalten und die Sicherheit ganzer Netzwerke gefährden. Außerdem wurde in den PaperCut-Produkten die Sicherheitslücke CVE-2023-27351 mit einem CVSS-Score von 8.2 gemeldet, die einen hohen Schweregrad aufweist. Beide Schwachstellen wurden durch eine Verkettung von Authentifizierungsumgehungen ausgenutzt.

Die Ausnutzung beruht auf einer Umgehung der Authentifizierung, die den administrativen Benutzer des PaperCut-Anwendungsservers einem zusätzlichen Risiko aussetzt. Sobald die Authentifizierung umgangen wurde, können Bedrohungsakteure über das Konto „NT AUTHORITY\SYSTEM“ beliebigen Code auf dem Server ausführen.

Bis heute gab es mehrere Fälle, in denen CVE-2023-27350 aktiv von Bedrohungsakteuren als Tool zum Einschleusen von Malware in das Zielsystem ausgenutzt wurde.

  • Trend Micro hat aufgedeckt, dass LockBit Ransomware – die aktivste Ransomware – als Endnutzlast in den Zielsystemen eingesetzt wird.
  • Microsoft hat Angreifer entdeckt, die Clop Ransomware
  • Huntress wiederum hat Angreifer entdeckt, die Krypto-Miner in das Zielsystem einschleusen.

Fazit

Laut der jüngsten PaperCut-Veröffentlichung wurden beide Sicherheitslücken in den PaperCut MF- und PaperCut NG-Versionen 20.1.7, 21.2.11 und 22.0.9 und höher behoben. Daher ist ein Upgrade der PaperCut-Anwendungsserver auf eine der behobenen Versionen die optimale Lösung. Trotz der Patches können Administratoren immer auf Nummer sicher gehen und ihre Systeme mit den bereitgestellten Erkennungsabfragen schnell auf Spuren einer Infektion überprüfen. Mehr lesen Sie hier: https://www.logpoint.com/en/blog/papercut-vulnerability-exploitation-detection/