Злоумышленники эксплуатируют CVE-2023-27350 в PaperCut MF и NG

vulnerability vulnerability
Опубликовано

Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры (CISA) выпускают это совместное сообщение по кибербезопасности (CSA) в ответ на активную эксплуатацию уязвимости CVE-2023-27350. Эта уязвимость присутствует в некоторых версиях PaperCut NG и PaperCut MF и позволяет неавторизованному субъекту удаленно выполнить вредоносный код без учетных данных. PaperCut выпустила исправление в марте 2023 года.

По данным ФБР, злоумышленники использовали CVE-2023-27350, начиная с середины апреля 2023 года и до настоящего времени. В начале мая 2023 года, также по информации ФБР, группа, идентифицирующая себя как Bl00dy Ransomware Gang, попыталась использовать уязвимые серверы PaperCut против подсектора образовательных учреждений.

В этом совместном сообщении представлены методы обнаружения эксплуатации CVE-2023-27350, а также индикаторы компрометации (IOCs), связанные с деятельностью банды Bl00dy Ransomware. ФБР и CISA настоятельно рекомендуют пользователям и администраторам немедленно применить исправления, а в случае невозможности установить исправления - использовать обходные пути. ФБР и CISA особенно рекомендуют организациям, которые не установили исправления немедленно, предположить возможность компрометации и искать вредоносную активность с помощью сигнатур обнаружения, приведенных в данном CSA. При обнаружении потенциальной компрометации организациям следует применять рекомендации по реагированию на инциденты, включенные в данный CSA.

Обзор уязвимости

CVE-2023-27350 позволяет удаленному агенту обойти аутентификацию и выполнить удаленное выполнение кода на следующих затронутых установках PaperCut:

  • Версия 8.0.0 - 19.2.7
  • Версия 20.0.0 - 20.1.6
  • Версия 21.0.0 - 21.2.10
  • Версия 22.0.0 - 22.0.8

Серверы PaperCut, уязвимые к CVE-2023-27350, используют неправильный контроль доступа в Java-классе SetupCompleted, что позволяет злоумышленникам обойти аутентификацию пользователя и получить доступ к серверу от имени администратора. После получения доступа к серверу злоумышленники могут использовать существующие функции программного обеспечения PaperCut для удаленного выполнения кода (RCE). В настоящее время существует два общеизвестных доказательства концепции достижения RCE в уязвимом программном обеспечении PaperCut:

  • Использование интерфейса сценариев печати для выполнения команд оболочки.
  • Использование интерфейса синхронизации пользователя/группы для выполнения атаки в стиле "живая земля".

ФБР и CISA отмечают, что злоумышленники могут разработать другие методы для RCE.

Серверный процесс PaperCut pc-app.exe запускается с привилегиями уровня SYSTEM или root. Когда программа используется для выполнения других процессов, таких как cmd.exe или powershell.exe, дочерние процессы создаются с теми же привилегиями. Команды, передаваемые при выполнении этих процессов, также запускаются с теми же привилегиями. В результате после первоначального доступа и компрометации возможен широкий спектр действий после эксплойта.

Деятельность угрожающих субъектов

Организации подсектора "Образовательные учреждения" обслуживали примерно 68% подверженных, но не обязательно уязвимых серверов PaperCut, расположенных в США. В начале мая 2023 года, согласно информации ФБР, банда Bl00dy Ransomware получила доступ к сетям жертв в подсекторе образовательных учреждений, где серверы PaperCut, уязвимые к CVE-2023-27350, были открыты для доступа в Интернет. В конечном итоге некоторые из этих операций привели к утечке данных и шифрованию систем жертв. Банда Bl00dy Ransomware оставляла на системах жертв записки с требованием заплатить в обмен на расшифровку зашифрованных файлов

Согласно информации ФБР, легальное программное обеспечение для удаленного управления и обслуживания (RMM) загружалось и выполнялось на системах жертв с помощью команд, отдаваемых через интерфейс сценариев печати PaperCut. Внешние сетевые коммуникации через Tor и/или другие прокси-серверы изнутри сетей жертв помогали участникам Bl00dy Gang ransomware маскировать свой вредоносный сетевой трафик. ФБР также выявило информацию, касающуюся загрузки и выполнения командно-контрольных (C2) вредоносных программ, таких как DiceLoader, TrueBot и Cobalt Strike Beacons, хотя неясно, на каком этапе атаки были выполнены эти инструменты.

МЕТОДЫ ОБНАРУЖЕНИЯ

Защитники сети должны сосредоточить усилия по обнаружению на трех ключевых областях:

  • Сигнатуры сетевого трафика - ищите сетевой трафик, пытающийся получить доступ к странице SetupCompleted открытого и уязвимого сервера PaperCut.
  • Мониторинг системы - ищите дочерние процессы, порожденные процессом pc-app.exe сервера PaperCut.
  • Настройки сервера и файлы журналов - ищите доказательства вредоносной активности в настройках сервера PaperCut и файлах журналов.

Сигнатуры сетевого трафика

Чтобы использовать CVE-2023-27350, злоумышленник должен сначала посетить страницу SetupCompleted предполагаемой цели, что обеспечит противнику аутентификацию на целевом сервере PaperCut. Разверните следующие сигнатуры Emerging Threat Suricata

для обнаружения отправки GET-запросов на страницу SetupCompleted. (При копировании и вставке сигнатур из этого руководства обратите внимание на неправильное форматирование знаков двойных кавычек).

Обратите внимание, что некоторые из методов, описанных в этом разделе, могут повлиять на доступность или стабильность системы. Защитники должны следовать политике организации и передовым методам реагирования на инциденты, чтобы минимизировать риск для операций во время поиска угроз.

alert http any any -> $HOME_NET any (\
  msg:"ET EXPLOIT PaperCut MF/NG SetupCompleted Authentication Bypass (CVE-2023-27350)"; \
  flow:established,to_server; \
  http.method; content:"GET"; \
  http.uri; content:"/app?service=page/SetupCompleted"; bsize:32; fast_pattern; \
  reference:cve,2023-27350; \
  classtype:attempted-admin; \

alert http any any -> $HOME_NET any (msg:"ET EXPLOIT PaperCut MF/NG SetupCompleted Authentication Bypass (CVE-2023-27350)"; flow:established,to_server; http.method; content:"GET"; http.uri; content:"page/SetupCompleted"; fast_pattern; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; reference:cve,2023-27350; classtype:attempted-admin; metadata:attack_target Server, cve CVE_2023_27350, deployment Perimeter, deployment Internal, deployment SSLDecrypt, former_category EXPLOIT, performance_impact Low, confidence High, signature_severity Major, updated_at 2023_05_05;)

Обратите внимание, что эти сигнатуры и другие средства обнаружения на основе правил, включая правила YARA, могут не обнаружить более продвинутые итерации эксплойтов CVE-2023-27350. Известно, что злоумышленники адаптируют эксплойты, чтобы обойти обнаружение на основе правил, сформулированных для оригинальных итераций эксплойтов, наблюдаемых в природе. Например, первое правило выше обнаружило некоторые из первых известных эксплойтов CVE-2023-27350, но небольшая модификация GET-запроса эксплойта может обойти это правило. Второе правило было разработано для обнаружения более широкого спектра активности, чем первое правило.

Следующие дополнительные сигнатуры Emerging Threat Suricata
предназначены для обнаружения поиска в системе доменных имен (DNS) известных вредоносных доменов, связанных с недавней эксплуатацией PaperCut:

alert http any any -> $HOME_NET any (msg:"ET EXPLOIT PaperCut MF/NG SetupCompleted Authentication Bypass (CVE-2023-27350)"; flow:established,to_server; http.method; content:"GET"; http.uri; content:"page/SetupCompleted"; fast_pattern; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; reference:cve,2023-27350; classtype:attempted-admin; metadata:attack_target Server, cve CVE_2023_27350, deployment Perimeter, deployment Internal, deployment SSLDecrypt, former_category EXPLOIT, performance_impact Low, confidence High, signature_severity Major, updated_at 2023_05_05;)

Обратите внимание, что эти сигнатуры и другие средства обнаружения на основе правил, включая правила YARA, могут не обнаружить более продвинутые итерации эксплойтов CVE-2023-27350. Известно, что злоумышленники адаптируют эксплойты, чтобы обойти обнаружение на основе правил, сформулированных для оригинальных итераций эксплойтов, наблюдаемых в природе. Например, первое правило выше обнаружило некоторые из первых известных эксплойтов CVE-2023-27350, но небольшая модификация GET-запроса эксплойта может обойти это правило. Второе правило было разработано для обнаружения более широкого спектра активности, чем первое правило.

Следующие дополнительные сигнатуры Emerging Threat Suricata
предназначены для обнаружения поиска в системе доменных имен (DNS) известных вредоносных доменов, связанных с недавней эксплуатацией PaperCut:

alert dns $HOME_NET any -> any any (msg:"ET TROJAN Possible PaperCut MF/NG Post Exploitation Domain in DNS Lookup (windowcsupdates .com)"; dns_query; content:"windowcsupdates.com"; nocase; isdataat:!1,relative; pcre:"/(?:^|\.)windowcsupdates\.com$/"; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; classtype:trojan-activity; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, former_category MALWARE, performance_impact Low, signature_severity Major, updated_at 2023_04_21;)
alert dns $HOME_NET any -> any any (msg:"ET ATTACK_RESPONSE Possible PaperCut MF/NG Post Exploitation Domain in DNS Lookup (anydeskupdate .com)"; dns_query; content:"anydeskupdate.com"; nocase; isdataat:!1,relative; pcre:"/(?:^|\.)anydeskupdate\.com$/"; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; classtype:trojan-activity; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, former_category MALWARE, performance_impact Low, signature_severity Major, updated_at 2023_04_21;)
alert dns $HOME_NET any -> any any (msg:"ET TROJAN Possible PaperCut MF/NG Post Exploitation Domain in DNS Lookup (anydeskupdates .com)"; dns_query; content:"anydeskupdates.com"; nocase; isdataat:!1,relative; pcre:"/(?:^|\.)anydeskupdates\.com$/"; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; classtype:trojan-activity; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, former_category MALWARE, performance_impact Low, signature_severity Major, updated_at 2023_04_21;)
alert dns $HOME_NET any -> any any (msg:"ET TROJAN Possible PaperCut MF/NG Post Exploitation Domain in DNS Lookup (windowservicecemter .com)"; dns_query; content:"windowservicecemter.com"; nocase; isdataat:!1,relative; pcre:"/(?:^|\.)windowservicecemter\.com$/"; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; classtype:trojan-activity; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, former_category MALWARE, performance_impact Low, signature_severity Major, updated_at 2023_04_21;)
alert dns $HOME_NET any -> any any (msg:"ET ATTACK_RESPONSE Possible PaperCut MF/NG Post Exploitation Domain in DNS Lookup (winserverupdates .com)"; dns_query; content:"winserverupdates.com"; nocase; isdataat:!1,relative; pcre:"/(?:^|\.)winserverupdates\.com$/"; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; classtype:trojan-activity; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, former_category MALWARE, performance_impact Low, signature_severity Major, updated_at 2023_04_21;)

alert dns $HOME_NET any -> any any (msg:"ET TROJAN Possible PaperCut MF/NG Post Exploitation Domain in DNS Lookup (netviewremote .com)"; dns_query; content:"netviewremote.com"; nocase; isdataat:!1,relative; pcre:"/(?:^|\.)netviewremote\.com$/"; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; classtype:trojan-activity; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, former_category MALWARE, performance_impact Low, signature_severity Major, updated_at 2023_04_21;)
alert dns $HOME_NET any -> any any (msg:"ET TROJAN Possible PaperCut MF/NG Post Exploitation Domain in DNS Lookup (updateservicecenter .com)"; dns_query; content:"updateservicecenter.com"; nocase; isdataat:!1,relative; pcre:"/(?:^|\.)updateservicecenter\.com$/"; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; classtype:trojan-activity; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, former_category MALWARE, performance_impact Low, signature_severity Major, updated_at 2023_04_21;)
alert dns $HOME_NET any -> any any (msg:"ET TROJAN Possible PaperCut MF/NG Post Exploitation Domain in DNS Lookup (windowservicecenter .com)"; dns_query; content:"windowservicecenter.com"; nocase; isdataat:!1,relative; pcre:"/(?:^|\.)windowservicecenter\.com$/"; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; classtype:trojan-activity; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, former_category MALWARE, performance_impact Low, signature_severity Major, updated_at 2023_04_21;)
alert dns $HOME_NET any -> any any (msg:"ET TROJAN Possible PaperCut MF/NG Post Exploitation Domain in DNS Lookup (windowservicecentar .com)"; dns_query; content:"windowservicecentar.com"; nocase; isdataat:!1,relative; pcre:"/(?:^|\.)windowservicecentar\.com$/"; reference:url,www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software; classtype:trojan-activity; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, former_category ATTACK_RESPONSE, performance_impact Low, signature_severity Major, updated_at 2023_04_21;)

Мониторинг системы

Дочерний процесс порождается под pc-app.exe, когда уязвимое программное обеспечение PaperCut используется для выполнения другого процесса, который является процессом сервера PaperCut. Вредоносная активность против серверов PaperCut в середине апреля использовала RCE для передачи команд дочернему процессу cmd.exe или powershell.exe, которые затем использовались для дальнейшей эксплуатации сети. Следующее правило YARA может обнаружить вредоносную активность

title: PaperCut MF/NG Vulnerability 
authors: Huntress DE&TH Team
description: Detects suspicious code execution from vulnerable PaperCut versions MF and NG 
logsource:
  category: process_creation 
  product: windows 
detection: 
  selection: 
    ParentImage|endswith: “\\pc-app.exe” 
    Image|endswith:  
      - “\\cmd.exe” 
      - “\\powershell.exe” 
  condition: selection 
level: high 
falsepositives:     
  - Expected admin activity

Более продвинутые версии эксплойта могут подбрасывать исполняемый файл бэкдора, использовать "живые" двоичные файлы или пытаться обойти вышеупомянутое правило YARA, порождая дополнительный дочерний процесс между pc-app.exe и интерпретатором командной строки.

Настройки сервера и файлы журналов

Защитники сети могут определить подозрительную активность, просмотрев параметры сервера PaperCut, чтобы выявить незнакомые сценарии печати или настройки синхронизации пользователей и групп.

Если в журналах сервера приложений PaperCut включен режим отладки, строки, содержащие SetupCompleted в момент времени, не соответствующий установке или обновлению сервера, могут свидетельствовать о компрометации. Журналы сервера можно найти в [app-path]/server/logs/*.*, где server.log обычно является самым последним файлом журнала.
Любая из следующих записей журнала сервера может свидетельствовать о компрометации:

  • Пользователь "admin" обновил ключ конфигурации "print.script.sandboxed"
  • Пользователь "admin" обновил ключ конфигурации "device.script.sandboxed"
  • Пользователь "admin" изменил сценарий печати на принтере
  • Настройки синхронизации пользователя/группы изменены пользователем "admin"

Indicators of Compromise

IPv4

  • 102.130.112.157
  • 172.106.112.46
  • 176.97.76.163
  • 192.160.102.164
  • 194.87.82.7
  • 195.123.246.20
  • 198.50.191.95
  • 206.197.244.75
  • 216.122.175.114
  • 46.4.20.30
  • 5.188.206.14
  • 5.8.18.233
  • 5.8.18.240
  • 80.94.95.103
  • 89.105.216.106
  • 92.118.36.199

Dimains

  • anydeskupdate.com
  • anydeskupdates.com
  • ber6vjyb.com
  • netviewremote.com
  • study.abroad.ge
  • upd343.winserverupdates.com
  • upd488.windowservicecemter.com
  • updateservicecenter.com
  • windowcsupdates.com
  • windowservicecemter.com
  • windowservicecentar.com
  • windowservicecenter.com
  • winserverupdates.com

URLs

  • http://192.184.35.216:443/
  • https://github.com/kost/revsocks
  • http://192.184.35.216:443/4591187629.exe
  • http://upd488.windowservicecemter.com/download/update.dll

Emails

  • decrypt.support@privyonline.com
  • fimaribahundqf@gmx.com
  • main-office@data-highstream.com
  • prepalkeinuc0u@gmx.com
  • tpyrcne@onionmail.org

SHA256

  • 0ce7c6369c024d497851a482e011ef1528ad270e83995d52213276edbe71403f
  • 6bb160ebdc59395882ff322e67e000a22a5c54ac777b6b1f10f1fef381df9c15
  • c0f8aeeb2d11c6e751ee87c40ee609aceb1c1036706a5af0d3d78738b6cc4125

Technical report

 

Похожие записи:
  1. LokiLocker Ransomware IOC
  2. Hive Ransomware IOC
  3. AvosLocker Ransomware IOC
  4. EvilNominatus Ransomware IOC
  5. Conti Ransomware IOC
Bl00dy CVE-2023-27350 Ransomware
Добавить комментарий