Se ha revelado más información sobre cómo los delincuentes están utilizando las fallas de seguridad de PaperCut recientemente descubiertas, que buscaban usar humildes impresoras de oficina para ingresar a las redes corporativas.
Según un nuevo informe sobre BleepingEquipolos ciberdelincuentes están usando dos fallas en la impresión popular (se abre en una pestaña nueva) software de gestión para entregar el software de gestión remota Atera a puntos finales vulnerables. Dicho software permite a los atacantes tomar el control total de los dispositivos de destino.
También obtuvimos dos pruebas de concepto (PoC) que muestran exactamente cómo se pueden explotar las vulnerabilidades, aumentando exponencialmente su potencial destructivo. El primer PoC fue lanzado por la firma de evaluación de superficie de ataque Horizon3, que explicó que el exploit permite «la ejecución remota de código al abusar de la funcionalidad integrada de ‘Scripting’ para impresoras».
pocos objetivos
Los proveedores de la plataforma de ciberseguridad administrada Huntress también mostraron su PoC, pero solo en forma de demostración en video. El PoC real aún no se ha publicado.
El lado positivo es que solo hay alrededor de 1700 servidores PaperCut expuestos a Internet a los que los atacantes podrían apuntar, dice BleepingComputer, citando datos de una búsqueda de Shodan. Aún así, incluso un ataque exitoso es demasiado.
Sin embargo, existen parches y soluciones para las fallas, por lo que se recomienda a los usuarios que aborden el problema de inmediato y minimicen cualquier riesgo potencial. Los administradores del sistema deben asegurarse de que su software esté actualizado a las versiones 20.1.7, 21.2.11 (MF) y 22.0.9 (NG).
La segunda falla también se puede mitigar aplicando restricciones de «Lista de permitidos» que se encuentran en Opciones > Avanzado > Seguridad > Direcciones IP de servidor de sitio permitidasy solo permitir que las direcciones IP verificadas del servidor del sitio accedan a la red.
Aquellos interesados en verificar dos veces si sus sistemas se vieron comprometidos o no no tienen suerte, ya que PaperCut dice que es imposible determinar, con absoluta certeza, si un actor de amenazas violó la red.
Los desarrolladores sugirieron que los equipos de TI busquen actividad sospechosa en la interfaz de administración de PaperCut en Registros > Registro de la aplicaciónincluidas las actualizaciones de un usuario llamado [setup wizard]. También pueden buscar nuevos usuarios que se creen o que se cambien las claves de configuración.
Vía: BleepingComputer (se abre en una pestaña nueva)