Злоумышленники эксплуатируют CVE-2023-27350 в PaperCut MF и NG

vulnerability vulnerability

Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры (CISA) выпускают это совместное сообщение по кибербезопасности (CSA) в ответ на активную эксплуатацию уязвимости CVE-2023-27350. Эта уязвимость присутствует в некоторых версиях PaperCut NG и PaperCut MF и позволяет неавторизованному субъекту удаленно выполнить вредоносный код без учетных данных. PaperCut выпустила исправление в марте 2023 года.

По данным ФБР, злоумышленники использовали CVE-2023-27350, начиная с середины апреля 2023 года и до настоящего времени. В начале мая 2023 года, также по информации ФБР, группа, идентифицирующая себя как Bl00dy Ransomware Gang, попыталась использовать уязвимые серверы PaperCut против подсектора образовательных учреждений.

В этом совместном сообщении представлены методы обнаружения эксплуатации CVE-2023-27350, а также индикаторы компрометации (IOCs), связанные с деятельностью банды Bl00dy Ransomware. ФБР и CISA настоятельно рекомендуют пользователям и администраторам немедленно применить исправления, а в случае невозможности установить исправления - использовать обходные пути. ФБР и CISA особенно рекомендуют организациям, которые не установили исправления немедленно, предположить возможность компрометации и искать вредоносную активность с помощью сигнатур обнаружения, приведенных в данном CSA. При обнаружении потенциальной компрометации организациям следует применять рекомендации по реагированию на инциденты, включенные в данный CSA.

Обзор уязвимости

CVE-2023-27350 позволяет удаленному агенту обойти аутентификацию и выполнить удаленное выполнение кода на следующих затронутых установках PaperCut:

  • Версия 8.0.0 - 19.2.7
  • Версия 20.0.0 - 20.1.6
  • Версия 21.0.0 - 21.2.10
  • Версия 22.0.0 - 22.0.8

Серверы PaperCut, уязвимые к CVE-2023-27350, используют неправильный контроль доступа в Java-классе SetupCompleted, что позволяет злоумышленникам обойти аутентификацию пользователя и получить доступ к серверу от имени администратора. После получения доступа к серверу злоумышленники могут использовать существующие функции программного обеспечения PaperCut для удаленного выполнения кода (RCE). В настоящее время существует два общеизвестных доказательства концепции достижения RCE в уязвимом программном обеспечении PaperCut:

  • Использование интерфейса сценариев печати для выполнения команд оболочки.
  • Использование интерфейса синхронизации пользователя/группы для выполнения атаки в стиле "живая земля".

ФБР и CISA отмечают, что злоумышленники могут разработать другие методы для RCE.

Серверный процесс PaperCut pc-app.exe запускается с привилегиями уровня SYSTEM или root. Когда программа используется для выполнения других процессов, таких как cmd.exe или powershell.exe, дочерние процессы создаются с теми же привилегиями. Команды, передаваемые при выполнении этих процессов, также запускаются с теми же привилегиями. В результате после первоначального доступа и компрометации возможен широкий спектр действий после эксплойта.

Деятельность угрожающих субъектов

Организации подсектора "Образовательные учреждения" обслуживали примерно 68% подверженных, но не обязательно уязвимых серверов PaperCut, расположенных в США. В начале мая 2023 года, согласно информации ФБР, банда Bl00dy Ransomware получила доступ к сетям жертв в подсекторе образовательных учреждений, где серверы PaperCut, уязвимые к CVE-2023-27350, были открыты для доступа в Интернет. В конечном итоге некоторые из этих операций привели к утечке данных и шифрованию систем жертв. Банда Bl00dy Ransomware оставляла на системах жертв записки с требованием заплатить в обмен на расшифровку зашифрованных файлов

Согласно информации ФБР, легальное программное обеспечение для удаленного управления и обслуживания (RMM) загружалось и выполнялось на системах жертв с помощью команд, отдаваемых через интерфейс сценариев печати PaperCut. Внешние сетевые коммуникации через Tor и/или другие прокси-серверы изнутри сетей жертв помогали участникам Bl00dy Gang ransomware маскировать свой вредоносный сетевой трафик. ФБР также выявило информацию, касающуюся загрузки и выполнения командно-контрольных (C2) вредоносных программ, таких как DiceLoader, TrueBot и Cobalt Strike Beacons, хотя неясно, на каком этапе атаки были выполнены эти инструменты.

МЕТОДЫ ОБНАРУЖЕНИЯ

Защитники сети должны сосредоточить усилия по обнаружению на трех ключевых областях:

  • Сигнатуры сетевого трафика - ищите сетевой трафик, пытающийся получить доступ к странице SetupCompleted открытого и уязвимого сервера PaperCut.
  • Мониторинг системы - ищите дочерние процессы, порожденные процессом pc-app.exe сервера PaperCut.
  • Настройки сервера и файлы журналов - ищите доказательства вредоносной активности в настройках сервера PaperCut и файлах журналов.

Сигнатуры сетевого трафика

Чтобы использовать CVE-2023-27350, злоумышленник должен сначала посетить страницу SetupCompleted предполагаемой цели, что обеспечит противнику аутентификацию на целевом сервере PaperCut. Разверните следующие сигнатуры Emerging Threat Suricata

для обнаружения отправки GET-запросов на страницу SetupCompleted. (При копировании и вставке сигнатур из этого руководства обратите внимание на неправильное форматирование знаков двойных кавычек).

Обратите внимание, что некоторые из методов, описанных в этом разделе, могут повлиять на доступность или стабильность системы. Защитники должны следовать политике организации и передовым методам реагирования на инциденты, чтобы минимизировать риск для операций во время поиска угроз.

Обратите внимание, что эти сигнатуры и другие средства обнаружения на основе правил, включая правила YARA, могут не обнаружить более продвинутые итерации эксплойтов CVE-2023-27350. Известно, что злоумышленники адаптируют эксплойты, чтобы обойти обнаружение на основе правил, сформулированных для оригинальных итераций эксплойтов, наблюдаемых в природе. Например, первое правило выше обнаружило некоторые из первых известных эксплойтов CVE-2023-27350, но небольшая модификация GET-запроса эксплойта может обойти это правило. Второе правило было разработано для обнаружения более широкого спектра активности, чем первое правило.

Следующие дополнительные сигнатуры Emerging Threat Suricata
предназначены для обнаружения поиска в системе доменных имен (DNS) известных вредоносных доменов, связанных с недавней эксплуатацией PaperCut:

Обратите внимание, что эти сигнатуры и другие средства обнаружения на основе правил, включая правила YARA, могут не обнаружить более продвинутые итерации эксплойтов CVE-2023-27350. Известно, что злоумышленники адаптируют эксплойты, чтобы обойти обнаружение на основе правил, сформулированных для оригинальных итераций эксплойтов, наблюдаемых в природе. Например, первое правило выше обнаружило некоторые из первых известных эксплойтов CVE-2023-27350, но небольшая модификация GET-запроса эксплойта может обойти это правило. Второе правило было разработано для обнаружения более широкого спектра активности, чем первое правило.

Следующие дополнительные сигнатуры Emerging Threat Suricata
предназначены для обнаружения поиска в системе доменных имен (DNS) известных вредоносных доменов, связанных с недавней эксплуатацией PaperCut:

Мониторинг системы

Дочерний процесс порождается под pc-app.exe, когда уязвимое программное обеспечение PaperCut используется для выполнения другого процесса, который является процессом сервера PaperCut. Вредоносная активность против серверов PaperCut в середине апреля использовала RCE для передачи команд дочернему процессу cmd.exe или powershell.exe, которые затем использовались для дальнейшей эксплуатации сети. Следующее правило YARA может обнаружить вредоносную активность

Более продвинутые версии эксплойта могут подбрасывать исполняемый файл бэкдора, использовать "живые" двоичные файлы или пытаться обойти вышеупомянутое правило YARA, порождая дополнительный дочерний процесс между pc-app.exe и интерпретатором командной строки.

Настройки сервера и файлы журналов

Защитники сети могут определить подозрительную активность, просмотрев параметры сервера PaperCut, чтобы выявить незнакомые сценарии печати или настройки синхронизации пользователей и групп.

Если в журналах сервера приложений PaperCut включен режим отладки, строки, содержащие SetupCompleted в момент времени, не соответствующий установке или обновлению сервера, могут свидетельствовать о компрометации. Журналы сервера можно найти в [app-path]/server/logs/*.*, где server.log обычно является самым последним файлом журнала.
Любая из следующих записей журнала сервера может свидетельствовать о компрометации:

  • Пользователь "admin" обновил ключ конфигурации "print.script.sandboxed"
  • Пользователь "admin" обновил ключ конфигурации "device.script.sandboxed"
  • Пользователь "admin" изменил сценарий печати на принтере
  • Настройки синхронизации пользователя/группы изменены пользователем "admin"

Indicators of Compromise

IPv4

  • 102.130.112.157
  • 172.106.112.46
  • 176.97.76.163
  • 192.160.102.164
  • 194.87.82.7
  • 195.123.246.20
  • 198.50.191.95
  • 206.197.244.75
  • 216.122.175.114
  • 46.4.20.30
  • 5.188.206.14
  • 5.8.18.233
  • 5.8.18.240
  • 80.94.95.103
  • 89.105.216.106
  • 92.118.36.199

Dimains

  • anydeskupdate.com
  • anydeskupdates.com
  • ber6vjyb.com
  • netviewremote.com
  • study.abroad.ge
  • upd343.winserverupdates.com
  • upd488.windowservicecemter.com
  • updateservicecenter.com
  • windowcsupdates.com
  • windowservicecemter.com
  • windowservicecentar.com
  • windowservicecenter.com
  • winserverupdates.com

URLs

  • http://192.184.35.216:443/
  • https://github.com/kost/revsocks
  • http://192.184.35.216:443/4591187629.exe
  • http://upd488.windowservicecemter.com/download/update.dll

Emails

SHA256

  • 0ce7c6369c024d497851a482e011ef1528ad270e83995d52213276edbe71403f
  • 6bb160ebdc59395882ff322e67e000a22a5c54ac777b6b1f10f1fef381df9c15
  • c0f8aeeb2d11c6e751ee87c40ee609aceb1c1036706a5af0d3d78738b6cc4125

Technical report

 

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий