Modern technology gives us many things.

Δημιουργήθηκε νέο λογισμικό εκμετάλλευσης PaperCut RCE που παρακάμπτει τις υπάρχουσες ανιχνεύσεις

Κυκλοφόρησε ένα νέο exploit proof-of-concept (PoC) για μια ευπάθεια PaperCut που εκμεταλλεύεται ενεργά, η οποία παρακάμπτει όλους τους γνωστούς κανόνες ανίχνευσης.

Η ευπάθεια PaperCut, η οποία παρακολουθείται ως CVE-2023-27350, είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα χωρίς έλεγχο ταυτότητας κρίσιμης σημασίας στις εκδόσεις PaperCut MF ή NG 8.0 ή νεότερες, το οποίο έχει αξιοποιηθεί σε επιθέσεις ransomware.

Το ελάττωμα αποκαλύφθηκε για πρώτη φορά τον Μάρτιο του 2023, προειδοποιώντας ότι επιτρέπει στους εισβολείς να εκτελούν κώδικα μέσω της ενσωματωμένης διεπαφής δέσμης ενεργειών του PaperCut. Μια μεταγενέστερη ενημέρωση της συμβουλευτικής τον Απρίλιο προειδοποίησε ότι η ευπάθεια αξιοποιούνταν ενεργά σε επιθέσεις.

Οι ερευνητές κυκλοφόρησαν σύντομα εκμεταλλεύσεις PoC για το ελάττωμα RCE, με τη Microsoft να επιβεβαιώνει ότι έγινε εκμετάλλευση από τις συμμορίες ransomware Clop και LockBit για αρχική πρόσβαση λίγες μέρες αργότερα.

Από τότε, πολλές εταιρείες ασφαλείας έχουν κυκλοφορήσει κανόνες ανίχνευσης για εκμεταλλεύσεις PaperCut και δείκτες συμβιβασμού, συμπεριλαμβανομένων ανιχνεύσεων μέσω Sysmon, αρχείων καταγραφής και υπογραφών δικτύου.

Ωστόσο, μια νέα μέθοδος επίθεσης ανακαλύφθηκε από VulnCheck μπορεί να παρακάμψει τις υπάρχουσες ανιχνεύσεις, επιτρέποντας στους εισβολείς να εκμεταλλεύονται ανεμπόδιστα το CVE-2023-27350.

«Αυτή η αναφορά δείχνει ότι οι ανιχνεύσεις που εστιάζουν σε μία μέθοδο εκτέλεσης κώδικα ή που εστιάζουν σε ένα μικρό υποσύνολο τεχνικών που χρησιμοποιούνται από έναν παράγοντα απειλής, είναι καταδικασμένες να είναι άχρηστες στον επόμενο γύρο επιθέσεων», εξηγεί η αναφορά του VulnCheck.

Παράκαμψη ανιχνεύσεων

Το VulnCheck εξηγεί ότι οι ανιχνεύσεις που βασίζονται στο Sysmon και βασίζονται στην ανάλυση δημιουργίας διεργασιών έχουν ήδη νικηθεί από τα υπάρχοντα PoC που χρησιμοποιούν εναλλακτικές οδούς δημιουργίας θυγατρικών διεργασιών.

Στην περίπτωση ανιχνεύσεων αρχείων καταγραφής, το VulnCheck εξηγεί ότι δεν μπορούν να θεωρηθούν αξιόπιστοι ως οριστικοί δείκτες συμβιβασμού, καθώς επισημαίνουν την κανονική καταγραφή χρηστών διαχειριστή, καθώς και ένας τρόπος για να εκμεταλλευτείτε το CVE-2023-27350 χωρίς να αφήνετε καταχωρήσεις στα αρχεία καταγραφής.

Αντί να χρησιμοποιεί την ενσωματωμένη διεπαφή δέσμης ενεργειών, το πρόσφατα δημοσιευμένο PoC καταχράται τη δυνατότητα “User/Group Sync” στο PaperCut NG, η οποία επιτρέπει σε έναν χρήστη διαχειριστή να καθορίσει ένα προσαρμοσμένο πρόγραμμα για έλεγχο ταυτότητας χρήστη.

Το PoC του VulnCheck χρησιμοποιεί “/usr/sbin/python3” για Linux και “C:\Windows\System32\ftp.exe” για Windows και παρέχει την κακόβουλη είσοδο που θα εκτελέσει την εκτέλεση κώδικα στα διαπιστευτήρια κατά τη διάρκεια μιας προσπάθειας σύνδεσης.

Παράδειγμα του αιτήματος PoC HTTP στα Windows
Παράδειγμα του αιτήματος PoC HTTP στα Windows (VulnCheck)

Αυτή η προσέγγιση δεν δημιουργεί άμεσες θυγατρικές διεργασίες ούτε δημιουργεί διακριτικές εγγραφές καταγραφής, επομένως οι ανιχνεύσεις Sysmon και Log File παρακάμπτονται.

Όσον αφορά τις μεθόδους ανίχνευσης υπογραφών δικτύου, αυτές μπορούν να παρακαμφθούν επιπόλαια εάν ο εισβολέας τροποποιήσει το κακόβουλο αίτημα HTTP προσθέτοντας μια επιπλέον κάθετο ή μια αυθαίρετη παράμετρο σε αυτό.

Η προσέγγιση του VulnCheck συνδυάζει όλα τα παραπάνω κόλπα παράκαμψης για την εκμετάλλευση της ευπάθειας PaperCut NG και MF χωρίς να ενεργοποιούνται συναγερμοί.

Οι ερευνητές δημοσίευσαν επίσης ένα βίντεο που δείχνει τη δημιουργία ενός αντίστροφου κελύφους στον στόχο.

Αν και το VulnCheck δεν παρείχε εναλλακτικές μεθόδους ανίχνευσης που λειτουργούν για όλα τα PoC, προειδοποίησαν ότι οι χάκερ παρακολουθούν στενά ποιες μεθόδους ανίχνευσης χρησιμοποιούν οι υπερασπιστές και προσαρμόζουν τις επιθέσεις τους για να τους καταστήσουν μη ανιχνεύσιμους ούτως ή άλλως.

Επομένως, ο καλύτερος τρόπος αντιμετώπισης αυτής της απειλής είναι να εφαρμόσετε τις προτεινόμενες ενημερώσεις ασφαλείας, οι οποίες είναι οι εκδόσεις PaperCut MF και PaperCut NG 20.1.7, 21.2.11 και 22.0.9 και νεότερες εκδόσεις.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση