Các nhà nghiên cứu an ninh mạng đã tìm ra cách khai thác lỗ hổng nghiêm trọng được tiết lộ gần đây trong máy chủ PaperCut theo cách bỏ qua tất cả các phát hiện hiện tại.
Được theo dõi là CVE-2023-27350 (điểm CVSS: 9,8), sự cố này ảnh hưởng đến các cài đặt PaperCut MF và NG mà kẻ tấn công chưa được xác thực có thể khai thác để thực thi mã tùy ý với các đặc quyền HỆ THỐNG.
Trong khi lỗ hổng đã được vá bởi công ty Úc vào ngày 8 tháng 3 năm 2023, những dấu hiệu khai thác tích cực đầu tiên đã xuất hiện vào ngày 13 tháng 4 năm 2023.
Kể từ đó, lỗ hổng đã được nhiều nhóm đe dọa vũ khí hóa, bao gồm cả các tác nhân ransomware, với hoạt động sau khai thác dẫn đến việc thực thi các lệnh PowerShell được thiết kế để loại bỏ các tải trọng bổ sung.
Giờ đây, VulnCheck đã xuất bản một khai thác bằng chứng khái niệm (PoC) giúp vượt qua các chữ ký phát hiện hiện có bằng cách tận dụng thực tế là “PaperCut NG và MF cung cấp nhiều đường dẫn để thực thi mã.”
Cần lưu ý rằng các lỗ hổng khai thác công khai sử dụng giao diện tập lệnh của máy in PaperCut để thực thi các lệnh Windows hoặc thả tệp lưu trữ Java (JAR) độc hại.
Cả hai cách tiếp cận này, theo VulnCheck, đều để lại dấu vết riêng biệt trong dịch vụ Windows System Monitor (còn gọi là Sysmon) và tệp nhật ký của máy chủ, chưa kể đến các chữ ký mạng kích hoạt có thể phát hiện bỏ qua xác thực.
Nhưng công ty Tình báo mối đe dọa có trụ sở tại Massachusetts cho biết họ đã phát hiện ra một phương pháp mới lạm dụng tính năng “Đồng bộ hóa người dùng/nhóm” của phần mềm quản lý in, cho phép đồng bộ hóa thông tin người dùng và nhóm từ Active Directory, LDAP hoặc nguồn tùy chỉnh.
Khi chọn nguồn thư mục tùy chỉnh, người dùng cũng có thể chỉ định chương trình xác thực tùy chỉnh để xác thực tên người dùng và mật khẩu của người dùng. Thật thú vị, chương trình người dùng và xác thực có thể là bất kỳ chương trình thực thi nào, mặc dù chương trình xác thực phải có tính tương tác về bản chất.
Tìm hiểu cách ngăn chặn phần mềm tống tiền bằng tính năng Bảo vệ trong thời gian thực
Hãy tham gia hội thảo trên web của chúng tôi và tìm hiểu cách ngăn chặn các cuộc tấn công của mã độc tống tiền bằng MFA thời gian thực và bảo vệ tài khoản dịch vụ.
Giữ chỗ ngồi của tôi!
Khai thác PoC do các ngân hàng VulnCheck nghĩ ra trên chương trình xác thực được đặt là “/usr/sbin/python3” cho Linux và “C:\Windows\System32\ftp.exe” cho Windows. Công ty cho biết tất cả những gì kẻ tấn công cần để thực thi mã tùy ý là cung cấp tên người dùng và mật khẩu độc hại trong quá trình đăng nhập.
Phương thức tấn công có thể bị khai thác để khởi chạy trình bao đảo ngược Python trên Linux hoặc tải xuống trình bao đảo ngược tùy chỉnh được lưu trữ trên máy chủ từ xa trong Windows mà không kích hoạt bất kỳ phát hiện nào đã biết.
“Người dùng quản trị tấn công PaperCut NG và MF có thể đi theo nhiều đường dẫn để thực thi mã tùy ý”, nhà nghiên cứu bảo mật VulnCheck Jacob Baines chỉ ra.
“Các phát hiện tập trung vào một phương pháp thực thi mã cụ thể hoặc tập trung vào một nhóm nhỏ các kỹ thuật được sử dụng bởi một tác nhân đe dọa sẽ vô dụng trong đợt tấn công tiếp theo. Những kẻ tấn công học hỏi từ các phát hiện công khai của người phòng thủ, vì vậy đó là việc của người phòng thủ’ trách nhiệm tạo ra các phát hiện mạnh mẽ không dễ dàng bỏ qua.”
