Atacantes explotan vulnerabilidad crítica en software de gestión de impresión PaperCut

La compañía de software de gestión de impresión PaperCut ha informado que los atacantes están explotando una vulnerabilidad crítica de seguridad para acceder a servidores no parcheados en redes de clientes. PaperCut ofrece dos productos de gestión de impresión, PaperCut NG y PaperCut MF, utilizados por gobiernos locales, grandes empresas e instituciones de salud y educación. Según su sitio web, PaperCut tiene más de 100 millones de usuarios de más de 70.000 organizaciones en todo el mundo.

En un aviso la semana pasada, PaperCut dijo que una vulnerabilidad crítica que parcheó a principios de marzo estaba siendo atacada activamente contra máquinas que aún no habían instalado la actualización de seguridad. La vulnerabilidad, rastreada como CVE-2023-27350, tiene una puntuación de 9,8 sobre 10 en gravedad de vulnerabilidad, ya que podría permitir a un atacante no autenticado ejecutar código malicioso de forma remota en un servidor sin necesidad de credenciales.

PaperCut también ha alertado sobre una falla similar pero separada en su software, rastreada como CVE-2023-27351 con una calificación de gravedad de vulnerabilidad de 8,2 sobre 10. El error permite a los hackers extraer información sobre los usuarios almacenados dentro de los servidores PaperCut MF y NG de un cliente, incluidos nombres de usuario, nombres completos, direcciones de correo electrónico, información del departamento y números de tarjetas de pago asociados con las cuentas.

"Ambas vulnerabilidades se han solucionado en las versiones 20.1.7, 21.2.11 y 22.0.9 y posteriores de PaperCut MF y PaperCut NG", dijo la compañía. "Recomendamos encarecidamente actualizar a una de estas versiones que contienen la solución".

Desde la confirmación de los ataques en la naturaleza por parte de PaperCut, la compañía de ciberseguridad Huntress dijo que observó a los hackers explotando las vulnerabilidades para plantar software legítimo de gestión remota, Atera y Syncro, para backdoor servidores no parcheados. Huntress dijo que ha detectado alrededor de 1.800 servidores PaperCut expuestos en Internet.

Huntress dijo que los atacantes utilizaron las herramientas remotas para plantar malware conocido como Truebot, que a menudo es utilizado por la banda Clop respaldada por Rusia antes de desplegar ransomware. Se cree que Clop también ha utilizado TrueBot como parte de su ataque masivo dirigido a clientes de la herramienta de transferencia de archivos GoAnywhere de Fortra.

"Aunque se desconoce el objetivo final de la actividad actual que aprovecha el software de PaperCut, estos vínculos (aunque algo circunstanciales) con una entidad de ransomware conocida son preocupantes", escribió Huntress. "Potencialmente, el acceso obtenido a través de la explotación de PaperCut podría ser utilizado como un punto de apoyo que conduzca a un movimiento posterior dentro de la red de la víctima y, en última instancia, al despliegue de ransomware".

Huntress dijo que creó un exploit de prueba de concepto no publicado para evaluar la amenaza que representan las dos vulnerabilidades. El lunes, los investigadores de la firma de pentesting automatizado Horizon3 lanzaron su propio código de exploit de prueba de concepto para la vulnerabilidad con una calificación de 9,8.

CISA agregó la falla CVE-2023-27350 de mayor gravedad a su lista de vulnerabilidades explotadas activamente el viernes, ordenando a las agencias federales que aseguren sus sistemas contra la explotación continua en un plazo de tres semanas antes del 12 de mayo.