新创建的 PaperCut RCE 漏洞可绕过现有检测

针对主动利用的 PaperCut 漏洞的新概念验证 (PoC) 漏洞已发布，可绕过所有已知检测规则。

PaperCut 漏洞，跟踪为 CVE-2023-27350，是 PaperCut MF 或 NG 8.0 或更高版本中的严重未经身份验证的远程代码执行缺陷，已在勒索软件攻击中被利用。

该漏洞于 2023 年 3 月首次披露，警告说它允许攻击者通过 PaperCut 的内置脚本接口执行代码。

4 月份对该公告的更新警告说，该漏洞正在攻击中被积极利用。

研究人员很快发布了针对 RCE 漏洞的PoC 漏洞 ，微软确认它在几天后被Clop 和 LockBit 勒索软件团伙用于初始访问。

从那时起，多家安全公司发布了针对 PaperCut 漏洞利用和危害指标的检测规则，包括通过 Sysmon、日志文件和网络签名进行的检测。

然而， VulnCheck 发现的一种新的攻击方法  可以绕过现有的检测，让攻击者可以畅通无阻地利用 CVE-2023-27350。

这份报告表明，专注于一种代码执行方法的检测，或专注于一个威胁行为者使用的一小部分技术的检测，注定在下一轮攻击中毫无用处。

绕过检测

VulnCheck 解释说，依赖于进程创建分析的基于 Sysmon 的检测已经被使用替代子进程创建路径的现有 PoC 击败。

在日志文件检测的情况下，VulnCheck 解释说它们不能作为妥协的明确指标，因为它们标记正常的管理员用户日志记录，而且有一种方法可以利用 CVE-2023-27350 而无需在日志文件中留下条目。

新发布的 PoC 没有使用内置脚本界面，而是滥用了 PaperCut NG 中的“用户/组同步”功能，该功能允许管理员用户指定自定义程序进行用户身份验证。

VulnCheck 的 PoC 在 Linux 上使用“/usr/sbin/python3”，在 Windows 上使用“C:WindowsSystem32ftp.exe”，并提供恶意输入，将在登录尝试期间在凭据中执行代码。

此方法不会创建直接子进程或生成独特的日志条目，因此可以绕过 Sysmon 和日志文件检测。

至于网络签名检测方法，如果攻击者通过向其中添加额外的斜杠或任意参数来修改恶意 HTTP 请求，则可以轻松绕过这些方法。

VulnCheck 的方法结合了上述所有绕过技巧，可以在不触发任何警报的情况下利用 PaperCut NG 和 MF 漏洞。

研究人员还发布了一段视频，演示如何在目标上创建反向外壳。

虽然 VulnCheck 没有提供适用于所有 PoC 的替代检测方法，但他们警告说，黑客会密切监视防御者使用的检测方法，并调整他们的攻击，使它们无论如何都无法检测到。

因此，应对此威胁的最佳方法是应用推荐的安全更新，即 PaperCut MF 和 PaperCut NG 版本 20.1.7、21.2.11 和 22.0.9 及更高版本。

原文始发于微信公众号（网络研究院）：新创建的 PaperCut RCE 漏洞可绕过现有检测