La empresa de software de gestión de impresión PaperCut alertó recientemente a los usuarios sobre dos vulnerabilidades graves que permiten ataques remotos. US CISA también ha confirmado la explotación activa de una de estas vulnerabilidades.
PaperCut lanzó recientemente una actualización de emergencia para sus usuarios, implementando correcciones para dos vulnerabilidades graves.
Como se describe en su aviso, PaperCut reveló dos vulnerabilidades diferentes que afectan a su software de gestión de impresión. Además de brindar detalles sobre las fallas, la firma también confirmó la explotación activa de una de estas vulnerabilidades, alertada por Trend Micro.
En cuanto a las fallas, la primera de ellas es una vulnerabilidad de ejecución remota de código (CVE-2023-27350) que permite que un atacante remoto no autenticado apunte al servidor de aplicaciones PaperCut. La falla recibió una calificación de gravedad crítica con una puntuación CVSS de 9,8. PaperCut no reveló más detalles sobre esta vulnerabilidad, ya que confirmó que estaba siendo explotada activamente según los informes de Trend Micro.
El segundo problema (CVE-2023–27351) también permite ataques remotos de un adversario no autenticado para robar información confidencial almacenada en PaperCut MF o NG. Esto incluye nombres de usuario, direcciones de correo electrónico, nombres completos, números de tarjeta y detalles del departamento u oficina de los usuarios. A esta vulnerabilidad se le ha asignado una clasificación de gravedad alta con una puntuación CVSS de 8,2. Afortunadamente, el error recibió una solución antes de que fuera explotado.
Luego de esta divulgación de emergencia, la firma de ciberseguridad también compartió un análisis detallado de los ataques que explotan la falla RCE.
Según su informe, los ataques aparentemente tienen como objetivo alrededor de 1.800 servidores PaperCut vulnerables, de los que los atacantes abusan para generar herramientas RMM como Atero y Syncro en los dispositivos de destino para un acceso persistente. También compartieron un PoC para la grieta.
Si bien las identidades exactas de los actores de amenazas que explotan esta vulnerabilidad permanecen ocultas, los investigadores de Huntress sospechan que los actores de amenazas rusos están detrás de ella. En resumen, aunque no están directamente relacionados, de alguna manera encuentran el malware Truebot relacionado con esta actividad, lo que finalmente conduce a las entidades de ransomware Cl0p y Silence.
La CISA de EE. UU. también agregó la vulnerabilidad de subataque CVE-2023–27350 a su lista de errores explotados activamente.
PaperCut lanzó los parches para las vulnerabilidades de software MF y NG con las versiones 20.1.7, 21.2.11 y 22.0.9, respectivamente.
Aunque la compañía insta al despliegue de actualizaciones, también ha aconsejado ciertas medidas de precaución para los sistemas en los que no es posible una actualización inmediata. Estas mitigaciones incluyen el bloqueo del tráfico entrante desde direcciones IP externas a los puertos de administración web 9191 y 9192, el bloqueo de todo el tráfico entrante al portal de administración web en el firewall al servidor para evitar el movimiento lateral de posibles atacantes y la aplicación de una lista de autorización.
Háganos saber sus pensamientos en los comentarios.
¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…
Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…
Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…
Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…
Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…
Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…