cve-2023-27350 - RunkIntel

# CVE-2023-27350 > [!critical] RCE crítico no PaperCut - explorado pelo ALPHV/BlackCat e Cl0p em 2023 > Bypass de autenticação combinado com RCE no PaperCut MF/NG. Explorada em larga escala pelos grupos **ALPHV/BlackCat** e **Cl0p** para comprometer servidores de gerenciamento de impressão em redes corporativas e educacionais. ## Visão Geral A [[cve-2023-27350|CVE-2023-27350]] é uma vulnerabilidade crítica no PaperCut MF e NG, software de gerenciamento de impressão amplamente utilizado em ambientes corporativos, educacionais e governamentais. A falha combina bypass de autenticação com execução remota de código, permitindo acesso total ao servidor sem qualquer credencial. Após divulgação pública em abril de 2023, a exploração foi massiva e imediata. O grupo [[blackcat-ransomware|ALPHV/BlackCat]] e o grupo Cl0p foram documentados usando esta CVE como vetor de acesso inicial para ataques de ransomware, especialmente contra instituições de ensino superior e organizações de saúde - setores com tradicionalmente baixa maturidade em patch management. Para o Brasil, onde PaperCut é amplamente usado em universidades federais, estaduais e grandes corporações, esta vulnerabilidade representa um vetor de comprometimento que pode ter ficado sem patch em muitas organizações. Com EPSS no percentil 99, instâncias expostas na internet devem ser consideradas comprometidas. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 9.8 (Critical) | | **Produto** | PaperCut MF, PaperCut NG | | **Versões afetadas** | MF/NG < 22.1.3, < 21.2.11 | | **Mecanismo** | Bypass de autenticação → RCE via script execution | | **Patch** | 22.1.3 / 21.2.11 (8 mar 2023) | | **EPSS Percentil** | 99° | ## Exploração em Larga Escala O exploit permite acesso direto à interface de administração do PaperCut sem credenciais, após o qual é possível executar scripts do sistema operacional via funcionalidades nativas: 1. Acesso sem credenciais ao painel admin 2. Upload ou execução de script via "User/Group Sync" feature 3. Execução de comandos como SYSTEM/root 4. Implantação de ferramenta de acesso remoto ou ransomware **TTPs observados:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-001-powershell|T1059.001]] · [[t1059-003-windows-command-shell|T1059.003]] · [[t1486-data-encrypted-for-impact|T1486]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar PaperCut MF/NG para versão 22.1.3 ou superior - Restringir acesso ao painel de administração por IP - Auditar logs de autenticação e acesso à interface admin **Detecção:** - Alertar em logins ao PaperCut admin sem autenticação prévia - Monitorar execuções de processo incomuns a partir do serviço PaperCut **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1030-network-segmentation|M1030]] · [[m1026-privileged-account-management|M1026]] > [!latam] Relevância LATAM > Universidades federais e estaduais brasileiras são usuárias massivas do PaperCut. Muitas instituições de ensino superior no Brasil e Argentina têm ciclos de patch lentos, tornando esta CVE crítica para o setor educacional latinoamericano. Auditar instâncias PaperCut em redes educacionais é prioritário. ## Referências - [PaperCut Security Bulletin](https://www.papercut.com/kb/Main/PO-1216-and-PO-1219) - [Huntress - Mass Exploitation Analysis](https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software) - [Microsoft MSTIC - BlackCat Usage](https://www.microsoft.com/en-us/security/blog/2023/04/27/blackcat-ransomware-affiliate-uses-papercut-exploitation-for-initial-access/)