Российских хакеров подозревают в активной эксплуатации неисправленных серверов PaperCut

PaperCut, поставщик ПО для управления печатью, заявил 19 апреля, что неисправленные серверы PaperCut MF/NG активно используются злоумышленниками в дикой природе (ITW), сославшись на отчёты об уязвимостях от компании Trend Micro.

Выявленные уязвимости включают в себя:

• ZDI-CAN-18987 / PO-1216: ошибка при удаленном выполнении кода без проверки подлинности, влияющая на PaperCut MF или NG версии 8.0 или более ранней на всех платформах, как для серверов приложений, так и для сайтов. (Оценка CVSS v3.1: 9,8 – критическая);
• ZDI-CAN-19226 / PO-1219: ошибка в раскрытии информации неавторизованному злоумышленнику, влияющая на PaperCut MF или NG версии 15.0 или более ранней на всех платформах для серверов приложений. (Оценка CVSS v3.1: 8.2 – высокий).

Компания PaperCut выпускает программное обеспечение для управления печатью, совместимое со всеми основными брендами и платформами. ПО используется крупными компаниями, государственными организациями и учебными заведениями, в то время как официальный сайт PaperCut утверждает, что компания обслуживает сотни миллионов клиентов из более чем 100 стран.

Специлисты Huntress, которые ранее обнаружили около 1800 общедоступных серверов PaperCut, заявили , что наблюдали PowerShell-команды, порождаемые программным обеспечением PaperCut для установки RMM-ПО, такого как Atera и Syncro, чтобы обеспечить постоянство доступа и выполнения вредоносного кода на заражённых хостах.

Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot, хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.

Обычно исследователи кибербезопасности приписывают вредонос TrueBot предположительно российской киберпреступной организации, известной как Silence . Она же, в свою очередь, имеет исторические связи с Evil Corp и её кластером TA505 , который в прошлом способствовал распространению программы-вымогателя Cl0p .

«Хотя конечная цель текущей вредоносной активности с использованием программного обеспечения PaperCut неизвестна, эти связи с известной вымогательской группировкой, хоть и несколько косвенные, вызывают беспокойство», — заявили в Huntress.

«Потенциально, доступ, полученный в результате эксплуатации PaperCut, может быть использован в качестве плацдарма, ведущего к последующему перемещению в сети жертвы и, в конечном итоге, к развертыванию вымогательского ПО», — добавили исследователи.

Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.