Een onbekende speler publiceerde gisteren de exploitatiecode voor een kritieke kwetsbaarheid in printer management software PaperCut. Na vijf dagen aan malware aanvallen gericht op de kwetsbaarheid, wordt de dreiging nu alleen maar groter.
PaperCut heeft meer dan 100 miljoen gebruikers binnen 70.000 organisaties. Volgens de Shodan-zoekmachine zijn bijna 1.700 installaties van de software blootgesteld aan het internet.
Vorige week woensdag waarschuwde PaperCut dat een kritieke kwetsbaarheid actief werd aangevallen. Het bedrijf bracht in maart al een patch voor de kwetsbaarheid uit, maar veel gebruikers hebben deze nog niet geïnstalleerd. De kwetsbaarheid met de naam CVE-2023-27350 heeft een ernstscore van 9,8 op 10.
Niet-geverifieerde aanvallers kunnen de kwetsbaarheid gebruiken om schadelijke code in te voeren, zonder dat ze daarvoor hoeven in te loggen. Een verwante kwetsbaarheid, CVE-2023-27351, maakt het voor niet-geverifieerde aanvallers mogelijk om gebruikersnamen, volledige namen en e-mailadressen van niet-gepatchte servers te halen.
Mogelijke connectie met bekende ransomware-groep
Twee dagen nadat PaperCut de aanvallen bekendmaakte, meldde beveiligingsbedrijf Huntress dat aanvallers de kwetsbaarheid uitbuitten. Hackers gebruikten de kwetsbaarheid om twee stukken software voor beheer op afstand te installeren – bekend als Atera en Syncro – op de niet gepatchte servers.
Nadat deze stap gelukt was, gebruikten aanvallers de eerdergenoemde software om malware te installeren die bekend staat als Truebot. Truebot is gekoppeld aan een groep die bekend staat als Silance, meldt Ars Technica. De groep heeft banden met de ransomware-groep Clop. Clop werkte eerder met Truebot om misbruik te maken van een kritieke kwetsbaarheid in een software genaamd GoAnywhere.
Volgens onderzoekers van Huntress is de connectie tussen de PaperCut-aanvallen en ransomware-groep Clop zorgwekkend. Met de toegang die aanvallers verkrijgen door de PaperCut-exploitatie kunnen ze zich verder bewegen binnen het slachtoffernetwerk en uiteindelijk ransomware inzetten.
Duizenden PaperCut-gebruikers lopen gevaar
Huntress maakt duidelijk dat er in de klantomgevingen die het bedrijf beheert ongeveer 1000 Windows-computers met PaperCut zijn geïnstalleerd. Daarvan zijn er nog 900 ongepatcht. Ervan uitgaande dat deze cijfers representatief zijn voor de rest van de PaperCut-gebruikers, stellen Huntress -onderzoekers dat duizenden servers nog steeds in gevaar zijn.
Om misbruik te voorkomen, moet elke organisatie die PaperCut gebruikt ervoor zorgen dat de PaperCut MF- en NG-versies 20.1.7,21.2.11 en 22.0.9 zijn geïnstalleerd.