Las fallas de PaperCut explotadas por las pandillas cibernéticas detrás de Clop y Lockbit

Se está levantando el velo de los ciberataques que siguieron al compromiso del software de gestión de impresión PaperCut hace diez días, utilizado por más de 70 000 empresas en todo el mundo y utilizado por más de 100 millones de personas. Según los investigadores de seguridad de Microsoft, los ciberdelincuentes están explotando fallas críticas que aún no han sido reparadas. Se han lanzado parches para estas vulnerabilidades y PaperCut insta a los clientes a instalarlos lo antes posible. "Lace Tempest (DEV-0950) es un ransomware afiliado a Clop que se ha observado utilizando vulnerabilidades de GoAnywhere y transferencias de infecciones de Raspberry Robin en campañas de ransomware anteriores". explicado los investigadores de seguridad del editor.

El actor de amenazas incorporó las vulnerabilidades de PaperCut en sus ataques el 13 de abril. En los ataques observados, Lace Tempest ejecutó varios comandos de PowerShell para entregar una DLL de TrueBot, que se conectó a un servidor de comando y control, intentó robar las credenciales de LSASS e inyectó la Carga útil de TrueBot en el servicio. conhost.exe de versiones comprometidas del software PaperCut. " Luego, Lace Tempest implantó un Cobalt Strike Beacon, realizó un reconocimiento del sistema conectado y se movió lateralmente usando WMI”, explica Microsoft. "El actor luego identificó y extrajo archivos de interés utilizando la aplicación para compartir archivos MegaSync".

Una emergencia para migrar

Según sus indicadores, la firma de Redmond también ha encontrado rastros de explotación de vulnerabilidades por parte de ciberdelincuentes afiliados a otro grupo de ransomware lamentablemente conocido, Lockbit. “Otros actores de amenazas podrían seguir su ejemplo. Es esencial que las empresas sigan la recomendación de PaperCut para actualizar sus aplicaciones y servidores. Por lo tanto, es más que urgente, si aún no se ha hecho para las empresas en cuestión, migrar a PaperCut MF y PaperCut NG versiones 20.1.7, 21.2.11 y 22.0.9 o posterior.

Como recordatorio, dos fallas de seguridad (CVE-2023-27350 y CVE-2023-27351) permiten a los atacantes remotos eludir la autenticación y ejecutar código arbitrario en servidores PaperCut comprometidos al obtener acceso a los privilegios del sistema sin interactuar con los usuarios.