Contáctanos al
1510
Puede encontrar este comunicado en formato PDF aquí: 10CND23-00099-01
El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, informa de una vulnerabilidad de día cero en el sistema de gestión de fotocopia e impresión en línea PaperCut MF/NG. Las siguientes son las vulnerabilidades involucradas en el incidente, las que fueron clasificadas con gravedad crítica una y alta la otra: § CVE-2023–27350[1] / ZDI-CAN-18987 (Vulnerabilidad de ejecución remota de código)[CVSS[2] v3: 9.8 CRITICAL] § CVE-2023–27351[3] / ZDI-CAN-19226 (Vulnerabilidad de datos de cuenta de usuario) )[CVSS v3: 7.5 HIGH] De acuerdo con lo señalado por el proveedor, las siguientes son las versiones afectadas del producto:
Los administradores de sistemas deben estar atentos a las siguientes condiciones: § Cualquier actividad sospechosa o alertas de seguridad en las herramientas de antivirus, antimalware y de seguridad de punto final. § Cualquier entrada sospechosa en el registro de aplicación PaperCut MF, como: · El usuario «admin» inicia sesión en la interfaz de administración · El usuario «admin» modificó el script de impresión en la impresora · El usuario «admin» actualizó la clave de configuración «…» · El usuario “[setup-wizard]” modificó una clave de configuración · Si los registros del servidor de su servidor de aplicaciones están en modo de depuración, verifique si hay líneas que mencionen SetupCompleteda la vez que no se correlacionen con la instalación o actualización del servidor. § A Dominios en DNS o registro web proxy: · upd488[.]windowservicecemter[.]com/download/ld.txt · upd488[.]windowservicecemter[.]com/download/AppPrint.msi · upd488[.]windowservicecemter[.]com/download/a2.msi · upd488[.]windowservicecemter[.]com/download/a3.msi · anydeskupdate[.]com · anydeskupdates[.]com · netviewremote[.]com · updateservicecenter[.]com · windowcsupdates[.]com · windowservicecentar[.]com · windowservicecenter[.]com · winserverupdates[.]com · study[.]abroad[.]ge · ber6vjyb[.]com · 5[.]188[.]206[.]14
§ Nuevas entradas sospechosas en el archivo de claves autorizado por SSH. § Nuevos scripts de impresión en la configuración. § SHA256 hash de archivos en el sistema local § Powershell Scripts con contenido similar a:
§ Detección vía Regla YARA en SIEM:
Ante el eventual compromiso producto de la explotación de esta vulnerabilidad, se recomienda mantener copias del servidor, limpiar el servidor de aplicaciones, reconstruir el servidor de aplicaciones y restaurar la base de datos. Para la implementación de los parches de seguridad y medidas preventivas, solicitamos revisar las recomendaciones del CSIRT de Gobierno en el siguiente enlace: § https://csirt.gob.cl/recomendaciones-gestion-de-informacion/ Para mayores consultas, recordamos a todas las organizaciones que pueden comunicarse con el CSIRT de gobierno al correo soc@interior.gob.cl o al teléfono 1510, ambos disponibles en modalidad 7/24, y también pueden obtener recursos de concientización en nuestro sitio web: https://csirt.gob.cl/
|
[1] https://nvd.nist.gov/vuln/detail/CVE-2023-27350
[2] https://nvd.nist.gov/vuln-metrics/cvss
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-27351