Vulnerabilidades de seguridad de PaperCut bajo ataque activo: el proveedor insta a los clientes a parchear

Seremos honestos y admitiremos que no habíamos oído hablar del software de administración de impresoras. PaperCut hasta esta semana.

De hecho, la primera vez que escuchamos el nombre fue en el contexto de la ciberdelincuencia y los ataques de malware, e ingenuamente asumimos que "PaperCut" era lo que nos gusta llamar un BWAIN.

A BWAIN es nuestro término satírico para cualquier error con un nombre impresionante (y conocedor de los medios), como heartbleed or Neurosis de guerra en el pasado, y pensamos que este se refería a una vulnerabilidad o un exploit de algún tipo.

Por lo tanto, nos disculpamos con la empresa PaperCut: el nombre pretende ser una metáfora para reducir el uso de papel al ayudarlo a administrar, controlar y cobrar de manera justa los recursos de impresión en su empresa.

Señalaremos además que PaperCut no está publicando esta alerta de vulnerabilidad por razones de relaciones públicas, porque buscar activamente la cobertura de los medios de comunicación para detectar errores en sus propios productos no es algo que las empresas generalmente se toman la molestia de hacer.

Pero felicitaciones a PaperCut en este caso, porque la compañía realmente está tratando de asegurarse de que todos sus clientes conozcan el importancia de dos vulnerabilidades en sus productos que parcheó el mes pasado, hasta el punto de que colocó un escudo con rayas verdes en la parte superior de su página web principal que dice: “Mensaje de seguridad urgente para todos los clientes de NG/MF”.

Hemos visto empresas que han admitido vulnerabilidades de día cero sin parches y violaciones de datos de una manera menos obvia que esta, por lo que le decimos "Buen trabajo" al equipo de Papercut por lo que la jerga de seguridad cibernética probablemente elogiaría con el ortund frase una abundancia de precaución.

.s-botón+.s-botón { margen izquierdo: .3125rem; } .s-button { transición: todo .15s lineal; tamaño de fuente: .875rem; altura de línea: 1.5; color: #f2f2f2; familia de fuentes: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; peso de fuente: 400; estilo de fuente: normal; pantalla: bloque en línea; relleno: .3125rem 1.25rem; cursor: puntero; alineación de texto: centro; texto-decoración: ninguno; borde: 1px sólido #005bc8; borde-radio: 3px; color de fondo: #005bc8; sombra de texto: ninguno; } .s-button:hover { texto-decoración: ninguno; color: #fff; color del borde: #002d62; color de fondo: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !importante; color del borde: #fff; color de fondo: #fff; } .s-ad-sophos-mdr { tamaño de fuente: 1rem; altura de línea: 1.5; color: #242629; familia de fuentes: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; peso de fuente: 400; estilo de fuente: normal; posición: relativa; ancho máximo: 769px; margen: 15px automático; relleno: 30px 30px 25px; transición: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); alineación de texto: centro; color de fondo: #0d141d; repetición de fondo: sin repetición; posición de fondo: 50%; tamaño de fondo: portada; box-shadow: 0 0 0 0 0 transparente; color de fondo: #005bc8; imagen de fondo: ninguno; posición de fondo: 0 0; } .s-ad-sophos-mdr__title { tamaño de fuente: 2rem; altura de línea: 1.125; margen inferior: 4px; color: #fff; } .s-ad-sophos-mdr__text { familia de fuentes: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; peso de fuente: 400; estilo de fuente: normal; tamaño de fuente: 17px; color: #fff; } .s-ad-sophos-mdr__action { margen superior: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { decoración de texto: ninguno; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { posición: absoluta; arriba: 15px; derecha: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; ancho: 64px; altura: 11px; alineación vertical: superior; repetición de fondo: sin repetición; tamaño de fondo: 64px 11px; } .s-ad-sophos-mdr__title { familia de fuentes: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; peso de fuente: 400; estilo de fuente: normal; tamaño de fuente: 28px; peso de fuente: 700; altura de línea: 1; margen inferior: 10px; alineación de texto: izquierda; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { tamaño de fuente: 16px; altura de línea: 1.25; alineación de texto: izquierda; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (ancho mínimo: 769 px) { .s-ad-sophos-mdr__text { margen derecho: 140 px; } .s-ad-sophos-mdr__action { posición: absoluta; derecha: 30px; inferior: 30px; } } @media (ancho máximo: 768 px) { .s-ad-sophos-mdr { padding-top: 50 px; } .s-ad-sophos-mdr__title { tamaño de fuente: 1.625rem; } .s-ad-sophos-mdr__text { tamaño de fuente: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Parchado, pero no necesariamente actualizado

El problema, al parecer, es un par de errores denominados CVE-2023-27350 y CVE-2023-27351 que fueron parcheados por PaperCut a fines de marzo de 2023.

PaperCut describe el primer error de la siguiente manera:

La [vulnerabilidad CVE-2023-27350 potencialmente] permite que un atacante no autenticado obtenga ejecución remota de código (RCE) en un servidor de aplicaciones PaperCut. Esto podría hacerse de forma remota y sin necesidad de iniciar sesión.

Por lo tanto, incluso si no se puede acceder directamente a su servidor de aplicaciones PaperCut a través de Internet, un atacante que ya tenía un punto de apoyo básico en su red, por ejemplo, como usuario invitado en la computadora portátil infectada de alguien, podría aprovechar este error para pivoteo moverse lateralmente (que son palabras de la jerga elegante para "dar el salto"), a una posición más privilegiada y poderosa dentro de su negocio.

El segundo error no otorga poderes de ejecución remota de código, pero permite a los atacantes extraer información de identificación personal que podría ser útil para posteriores ataques de ingeniería social contra su empresa en su conjunto y su personal como individuos:

La [vulnerabilidad CVE-2023-27351] permite que un atacante no autenticado extraiga potencialmente información sobre un usuario almacenada en PaperCut MF o NG, incluidos nombres de usuario, nombres completos, direcciones de correo electrónico, información de oficina/departamento y cualquier número de tarjeta asociado con el usuario. El atacante también puede recuperar las contraseñas codificadas solo para usuarios internos creados por PaperCut […]. Esto podría hacerse de forma remota y sin necesidad de iniciar sesión.

Aunque los parches han estado disponibles durante casi un mes, parece que no todos los clientes los han aplicado, y los ciberdelincuentes aparentemente han comenzado a usar el primero de estos errores en ataques de la vida real.

PaperCut dice que fue alertado por primera vez de un ataque contra un servidor sin parches a las 2023-04-17T17:30Z, y ahora ha revisado sus registros y sugiere que el primer ataque conocido hasta ahora ocurrió cuatro días antes, a las 2023-04- 13T15:29Z.

En otras palabras, si parcheó antes del 2023 de abril de 04 (el antepenúltimo jueves al momento de escribir este artículo), es casi seguro que habría estado por delante de los delincuentes, pero si aún no ha parcheado, realmente necesita hacerlo.

PaperCut señala que se está esforzando mucho "para compilar una lista de servidores PaperCut MF/NG sin parches que tienen puertos abiertos en la Internet pública", y luego haciendo todo lo posible para tratar de contactar a esos clientes obviamente en riesgo.

Pero PaperCut no puede escanear sus redes internas para advertirle sobre servidores sin parches que no son visibles en Internet.

Tendrá que hacerlo usted mismo, para asegurarse de que no ha dejado lagunas a través de las cuales los atacantes que ya han pirateado su red "solo un poco" pueden extender su acceso deshonesto a "bastante".

¿Qué hacer?

Leer PaperCut resumen detallado de qué productos se ven afectados y cómo actualizarlos.
Si tiene PaperCut MF o PaperCut NG, debe asegurarse de tener instalada una de las siguientes versiones: 20.1.7, 21.2.11o 22.0.9.
Si cree que podría estar en riesgo, porque usa estos productos y no los había parcheado antes del 2023-04-13, cuando aparecieron los primeros exploits conocidos hasta ahora, consulte Preguntas frecuentes de PaperCut para ayudarte a buscar conocidos Indicadores de compromiso (IOC).

Recuerde, por supuesto, que los IoC compartidos por PaperCut están, por necesidad, limitados a aquellos que ya han visto en ataques que ya conocen, por lo que ausencia de evidencia no es evidencia de ausencia.

Si no está seguro de qué buscar o cómo buscarlo, considere obtener un Detección y respuesta gestionadas (MDR) para ayudarte.

¿Le falta tiempo o experiencia para encargarse de la respuesta a amenazas de ciberseguridad? ¿Le preocupa que la seguridad cibernética termine distrayéndolo de todas las otras cosas que debe hacer?

Aprenda más sobre Detección y respuesta gestionadas por Sophos:
Búsqueda, detección y respuesta de amenazas las 24 horas del día, los 7 días de la semana ▶

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
Acuñando el futuro con Adryenn Ashley. Accede Aquí.
Fuente: https://nakedsecurity.sophos.com/2023/04/25/papercut-security-vulnerabilities-under-active-attack-vendor-urges-customers-to-patch/

Inteligencia de datos generativa

Vulnerabilidades de seguridad de PaperCut bajo ataque activo: el proveedor insta a los clientes a parchear

Parchado, pero no necesariamente actualizado

¿Qué hacer?

café vc

Los equipos de seguridad y SRE quieren lo mismo: hagámoslo realidad

Información más reciente

Los equipos de seguridad y SRE quieren lo mismo: hagámoslo realidad

vidacienciav

café vc

café vc

vidacienciav

vidacienciav