Eksploitasi proof-of-concept (PoC) baru untuk kerentanan PaperCut yang dieksploitasi secara aktif dirilis yang melewati semua aturan deteksi yang diketahui.
Itu Kerentanan PaperCutdilacak sebagai CVE-2023-27350, adalah kelemahan eksekusi kode jarak jauh yang tidak diautentikasi dengan tingkat keparahan kritis di PaperCut MF atau NG versi 8.0 atau lebih baru yang telah dieksploitasi dalam serangan ransomware.
Cacat itu pertama kali diungkapkan pada Maret 2023, memperingatkan bahwa itu memungkinkan penyerang mengeksekusi kode melalui antarmuka skrip bawaan PaperCut. Pembaruan selanjutnya pada penasehat pada bulan April memperingatkan bahwa kerentanan sedang dieksploitasi secara aktif dalam serangan.
Peneliti segera dirilis Eksploitasi PoC untuk cacat RCE, dengan Microsoft mengonfirmasi itu dieksploitasi oleh geng ransomware Clop dan LockBit untuk akses awal beberapa hari kemudian.
Sejak saat itu, beberapa perusahaan keamanan telah merilis aturan deteksi untuk eksploitasi PaperCut dan indikator penyusupan, termasuk deteksi melalui Sysmon, file log, dan tanda tangan jaringan.
Namun, metode serangan baru ditemukan oleh VulnCheck dapat melewati deteksi yang ada, memungkinkan penyerang mengeksploitasi CVE-2023-27350 tanpa halangan.
“Laporan ini menunjukkan bahwa pendeteksian yang berfokus pada satu metode eksekusi kode, atau yang berfokus pada subset kecil teknik yang digunakan oleh satu pelaku ancaman, akan menjadi sia-sia dalam putaran serangan berikutnya,” jelas laporan VulnCheck.
Melewati deteksi
VulnCheck menjelaskan bahwa deteksi berbasis Sysmon yang mengandalkan analisis pembuatan proses telah dikalahkan oleh PoC yang ada yang menggunakan jalur pembuatan proses anak alternatif.
Dalam kasus pendeteksian file log, VulnCheck menjelaskan bahwa mereka tidak dapat dipercaya sebagai indikator definitif dari kompromi, karena mereka menandai login pengguna admin normal, plus ada cara untuk mengeksploitasi CVE-2023-27350 tanpa meninggalkan entri di file log.
Alih-alih menggunakan antarmuka skrip bawaan, PoC yang baru diterbitkan menyalahgunakan fitur “Sinkronisasi Pengguna/Grup” di PaperCut NG, yang memungkinkan pengguna admin menentukan program khusus untuk autentikasi pengguna.
PoC VulnCheck menggunakan “/usr/sbin/python3” untuk Linux dan “C:\Windows\System32\ftp.exe” untuk Windows dan memberikan input berbahaya yang akan menjalankan eksekusi kode di kredensial selama upaya login.
Pendekatan ini tidak membuat proses anak langsung atau menghasilkan entri log khusus, sehingga deteksi Sysmon dan File Log dilewati.
Adapun metode deteksi tanda tangan jaringan, itu dapat dilewati dengan mudah jika penyerang memodifikasi permintaan HTTP jahat dengan menambahkan garis miring ekstra atau parameter arbitrer ke dalamnya.
Pendekatan VulnCheck menggabungkan semua trik melewati di atas untuk mengeksploitasi kerentanan PaperCut NG dan MF tanpa memicu alarm apa pun.
Para peneliti juga merilis video yang mendemonstrasikan pembuatan cangkang terbalik pada target.
Meskipun VulnCheck tidak menyediakan metode deteksi alternatif yang berfungsi untuk semua PoC, mereka memperingatkan bahwa peretas memantau dengan cermat metode deteksi apa yang digunakan oleh pembela HAM dan menyesuaikan serangan mereka agar tetap tidak terdeteksi.
Oleh karena itu, cara terbaik untuk mengatasi ancaman ini adalah dengan menerapkan pembaruan keamanan yang direkomendasikan, yaitu PaperCut MF dan PaperCut NG versi 20.1.7, 21.2.11, dan 22.0.9 dan yang lebih baru.
