Эксперты выпустили код PoC-эксплоит для активно эксплуатируемой уязвимости PaperCut

Эксперты Horizon3 раскрыли PoC-эксплоит уязвимости программного обеспечения для управления печатью PaperCut MF/NG. Исследователи Horizon3 также поделились индикаторами компрометации (IoC) для атак.

По данным Horizon3, недостаток существует в классе SetupCompleted. Проблема возникает из-за неправильного контроля доступа. PoC позволяет злоумышленнику обходить аутентификацию и выполнять код в контексте SYSTEM на уязвимых серверах PaperCut. PoC использует уязвимость обхода аутентификации, связанную со злоупотреблением встроенными функциями сценариев для выполнения кода.

Кроме того, специалисты Huntress, которые ранее обнаружили около 1800 общедоступных серверов PaperCut , наблюдали PowerShell-команды, порождаемые программным обеспечением PaperCut для установки RMM-ПО, такого как Atera и Syncro, чтобы обеспечить постоянство доступа и выполнения вредоносного кода на заражённых хостах.

Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot, хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.

Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.