Création d’un nouvel exploit RCE PaperCut qui contourne les détections existantes

Un nouvel exploit de preuve de concept (PoC) pour une vulnérabilité PaperCut activement exploitée a été publié et contourne toutes les règles de détection connues.

La vulnérabilité PaperCut, répertoriée sous le nom de CVE-2023-27350, est une faille d’exécution de code à distance non authentifiée de gravité critique dans PaperCut MF ou NG versions 8.0 ou ultérieures, qui a été exploitée dans des attaques de ransomware.

La faille a été divulguée pour la première fois en mars 2023, avertissant qu’elle permettait aux attaquants d’exécuter du code via l’interface de script intégrée de PaperCut. Une mise à jour ultérieure de l’avis en avril a averti que la vulnérabilité était activement exploitée dans des attaques.

Les chercheurs ont rapidement publié des exploits PoC pour la faille RCE, et Microsoft a confirmé qu’elle avait été exploitée par les gangs de ransomware Clop et LockBit pour l’accès initial quelques jours plus tard.

Depuis lors, de nombreuses sociétés de sécurité ont publié des règles de détection pour les exploits PaperCut et des indicateurs de compromission, y compris des détections via Sysmon, des fichiers journaux et des signatures de réseau.

Cependant, une nouvelle méthode d’attaque découverte par VulnCheck peut contourner les détections existantes, permettant aux attaquants d’exploiter CVE-2023-27350 sans entrave.

“Ce rapport montre que les détections qui se concentrent sur une méthode d’exécution de code, ou qui se concentrent sur un petit sous-ensemble de techniques utilisées par un acteur de la menace, sont condamnées à être inutiles dans la prochaine série d’attaques”, explique le rapport de VulnCheck.

Contourner les détections

VulnCheck explique que les détections basées sur Sysmon qui s’appuient sur l’analyse de la création de processus sont déjà battues par les PoCs existants qui utilisent d’autres voies de création de processus enfant.

Dans le cas des détections de fichiers journaux, VulnCheck explique qu’on ne peut pas s’y fier en tant qu’indicateurs définitifs d’une compromission, car ils signalent la journalisation normale de l’utilisateur administrateur, et qu’il existe un moyen d’exploiter la CVE-2023-27350 sans laisser d’entrées dans les fichiers journaux.

Au lieu d’utiliser l’interface de script intégrée, le nouveau PoC publié abuse de la fonction “User/Group Sync” de PaperCut NG, qui permet à un utilisateur administrateur de spécifier un programme personnalisé pour l’authentification de l’utilisateur.

Le PoC de VulnCheck utilise “/usr/sbin/python3” pour Linux et “C:\NWindows\NSystem32\ftp.exe” pour Windows et fournit l’entrée malveillante qui exécutera le code dans les informations d’identification lors d’une tentative de connexion.

Cette approche ne crée pas de processus enfant direct et ne génère pas d’entrées de journal distinctives, de sorte que les détections Sysmon et Log File sont contournées.

Quant aux méthodes de détection des signatures réseau, elles peuvent être trivialement contournées si l’attaquant modifie la requête HTTP malveillante en y ajoutant une barre oblique supplémentaire ou un paramètre arbitraire.

L’approche de VulnCheck combine toutes les astuces de contournement susmentionnées pour exploiter la vulnérabilité de PaperCut NG et MF sans déclencher d’alarme.

Les chercheurs ont également publié une vidéo démontrant la création d’un shell inversé sur la cible.

Bien que VulnCheck n’ait pas fourni de méthodes de détection alternatives qui fonctionnent pour tous les PoC, il a averti que les pirates surveillent de près les méthodes de détection employées par les défenseurs et adaptent leurs attaques pour les rendre de toute façon indétectables.

Par conséquent, la meilleure façon de faire face à cette menace est d’appliquer les mises à jour de sécurité recommandées, à savoir les versions 20.1.7, 21.2.11 et 22.0.9 de PaperCut MF et PaperCut NG, et les versions ultérieures.