Эксперты выпустили код PoC-эксплоит для активно эксплуатируемой уязвимости PaperCut

Эксперты Horizon3 раскрыли PoC-эксплоит уязвимости программного обеспечения для управления печатью PaperCut MF/NG. Исследователи Horizon3 также поделились индикаторами компрометации ( IoC ) для атак.

По данным Horizon3, недостаток существует в классе SetupCompleted. Проблема возникает из-за неправильного контроля доступа. PoC позволяет злоумышленнику обходить аутентификацию и выполнять код в контексте SYSTEM на уязвимых серверах PaperCut. PoC использует уязвимость обхода аутентификации, связанную со злоупотреблением встроенными функциями сценариев для выполнения кода.

Кроме того, специалисты Huntress , которые ранее обнаружили около 1800 общедоступных серверов PaperCut , наблюдали PowerShell-команды, порождаемые программным обеспечением PaperCut для установки RMM-ПО, такого как Atera и Syncro, чтобы обеспечить постоянство доступа и выполнения вредоносного кода на заражённых хостах.

Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot , хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.

Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.