Rabatte für mehrere Lizenzen
Computer Security PaperCut-Schwachstellen behoben

PaperCut-Schwachstellen behoben

Von Mura in Computer Security
Übersetzen Sie in:
Deutsch

PaperCut, eine beliebte Druckverwaltungssoftwarelösung, war kürzlich mit zwei erheblichen Schwachstellen konfrontiert, die Ransomware-Banden aktiv ausnutzten. Diese Schwachstellen wurden nun vom Unternehmen behoben, um potenzielle Risiken auszuschließen.

CVE-2023-27350: Fehler bei der Ausführung von nicht authentifiziertem Remotecode

Diese Schwachstelle hat einen CVSS v3.1-Score von 9,8, was auf eine kritische Risikostufe hinweist. Der Fehler bei der nicht authentifizierten Remotecodeausführung ermöglichte es Angreifern, beliebigen Code auf anfälligen Systemen ohne jegliche Authentifizierung auszuführen, was ihnen uneingeschränkten Zugriff auf sensible Daten und die Möglichkeit verschaffte, Netzwerke zu kompromittieren. Was die Schwere dieser Sicherheitslücke noch besorgniserregender macht, ist die Tatsache, dass ein Proof-of-Concept-Code veröffentlicht wurde, der mehr Cyberkriminellen als Leitfaden für die einfache Ausnutzung dieser Schwachstelle dient.

CVE-2023-27351: Fehler bei der Offenlegung nicht authentifizierter Informationen

Die zweite Schwachstelle, CVE-2023-27351, hat einen CVSS v3.1-Score von 8,2, was als hohes Risiko gilt. Dieser Fehler ermöglichte die unauthentifizierte Offenlegung von Informationen, was bedeutete, dass Angreifer auf sensible Daten zugreifen konnten, ohne gültige Anmeldeinformationen zu benötigen. Die Ausnutzung dieser Schwachstelle würde es Cyberkriminellen ermöglichen, an wertvolle Informationen zu gelangen und diese möglicherweise für gezieltere Angriffe zu nutzen. Obwohl diese Sicherheitslücke nicht so kritisch ist wie der Fehler bei der Remotecodeausführung, stellte sie dennoch eine erhebliche Bedrohung für die Sicherheit und Privatsphäre der Benutzer dar.

Proof-of-Concept-Code veröffentlicht

Der der Öffentlichkeit zugänglich gemachte PoC-Code (Proof of Concept) erhöhte die mit diesen Schwachstellen verbundenen Risiken. Dieser PoC-Code bot potenziellen Angreifern eine Roadmap, um diese Schwachstellen auch ohne umfassende technische Kenntnisse auszunutzen. Die Veröffentlichung von PoC-Code ist ein zweischneidiges Schwert. Während es dazu beiträgt, das Bewusstsein für Sicherheitslücken zu schärfen und Sicherheitsforscher bei der Entwicklung von Patches zu unterstützen, liefert es potenziellen Angreifern auch eine Blaupause für die Durchführung von Angriffen. Die für diese Schwachstellen veröffentlichten Patches sind von entscheidender Bedeutung, um die Sicherheit der PaperCut-Benutzer und ihrer Netzwerke zu gewährleisten.

Böswillige Akteure, die PaperCut-Schwachstellen ausnutzen

Als die PaperCut-Schwachstellen bekannt wurden, begannen verschiedene Ransomware- Banden schnell damit, sie aktiv auszunutzen. Zu diesen böswilligen Akteuren gehörten die Ransomware-Stämme Lace Tempest und LockBit, die beide auf anfällige PaperCut-Server abzielten, um Netzwerke zu infiltrieren und ihre Ransomware-Payloads einzusetzen.

Lace Tempest (Clop Ransomware Affiliate) zielt auf anfällige Server ab

Lace Tempest, ein Tochterunternehmen der bekannten Ransomware-Gruppe Clop , war einer der ersten böswilligen Akteure, der die PaperCut-Schwachstellen ausnutzte. Durch die Nutzung der Schwachstellen bei der nicht authentifizierten Remote-Codeausführung und Informationsoffenlegung gelang es Lace Tempest, anfällige Server zu kompromittieren und sich uneingeschränkten Zugriff auf sensible Daten und Netzwerke zu verschaffen. In diesen kompromittierten Systemen angekommen, setzte Lace Tempest die Ransomware Clop ein, verschlüsselte Dateien und verlangte Lösegeld für die Freigabe der Entschlüsselungsschlüssel.

Der Ransomware-Stamm LockBit zielt auch auf PaperCut-Server ab

LockBit , ein weiterer berüchtigter Ransomware-Typ, nutzt ebenfalls aktiv die Schwachstellen des PaperCut-Servers aus. Ähnlich wie die Strategie von Lace Tempest nutzte LockBit die Schwachstellen bei der nicht authentifizierten Remote-Codeausführung und der Offenlegung von Informationen aus, um anfällige Systeme zu infiltrieren. Durch den Zugriff auf sensible Daten und interne Netzwerke setzte LockBit seine Ransomware-Nutzlast ein, was zu verschlüsselten Dateien und Lösegeldforderungen führte. Die schnelle Übernahme dieser Schwachstellen durch böswillige Akteure wie LockBit und Lace Tempest verdeutlicht die Schwere dieser PaperCut-Schwachstellen und unterstreicht die Bedeutung regelmäßiger Patches und Aktualisierungen der Software zum Schutz vor Cyber-Bedrohungen.

Spitzensturm-Angriffstaktiken

Lace Tempest, der Ransomware-Partner von Clop, hat seine einzigartigen Angriffstaktiken entwickelt, um Schwachstellen des PaperCut-Servers effektiv auszunutzen. Durch den Einsatz ausgefeilter Methoden wie PowerShell-Befehlen, Command-and-Control-Serververbindungen und dem Cobalt Strike Beacon hat Lace Tempest erfolgreich Systeme infiltriert und seine Ransomware-Nutzlast übermittelt.

Verwenden von PowerShell-Befehlen zur Bereitstellung der TrueBot-DLL

Die Angriffe von Lace Tempest beginnen oft mit der Ausführung von PowerShell-Befehlen, mit denen sie eine bösartige TrueBot-DLL-Datei (Dynamic Link Library) an das Zielsystem übermitteln. Diese DLL-Datei wird dann auf das System geladen und dient als Baustein für weitere böswillige Aktivitäten, etwa den Aufbau von Verbindungen zu Command-and-Control-Servern und das Herunterladen zusätzlicher Malware-Komponenten.

Stellt eine Verbindung zu einem Befehls- und Steuerungsserver her

Sobald die TrueBot-DLL installiert ist, stellt die Malware von Lace Tempest eine Verbindung zu einem Command-and-Control-Server (C2) her. Diese Verbindung ermöglicht es den Angreifern, Befehle zu senden und Daten vom kompromittierten System zu empfangen, was die Datenexfiltration erleichtert und den Einsatz zusätzlicher Malware-Komponenten oder -Tools, wie etwa des Cobalt Strike Beacon, ermöglicht.

Nutzung von Cobalt Strike Beacon für die Ransomware-Übermittlung

Lace Tempest nutzt den Cobalt Strike Beacon oft als Teil seiner Angriffskette. Cobalt Strike ist ein legitimes Penetrationstest-Tool, das einen Post-Exploitation-Agenten namens „Beacon“ enthält. Leider haben Cyberkriminelle wie Lace Tempest dieses Tool für ihre böswilligen Zwecke zweckentfremdet. In diesem Fall verwenden sie den Cobalt Strike Beacon, um Clop-Ransomware auf die Zielsysteme zu übertragen. Sobald die Ransomware eingesetzt wird, verschlüsselt sie Dateien auf dem System und verlangt ein Lösegeld für die Entschlüsselungsschlüssel, wodurch die Daten der Opfer praktisch als Geiseln gehalten werden.

Verschiebung bei Ransomware-Operationen

In den letzten Jahren gab es eine deutliche Verschiebung in der Vorgehensweise von Ransomware-Banden wie Clop. Anstatt sich ausschließlich auf die Verschlüsselung von Daten zu verlassen und Lösegelder für Entschlüsselungsschlüssel zu fordern, legen Angreifer nun den Schwerpunkt auf den Diebstahl sensibler Daten zu Erpressungszwecken. Diese Änderung der Taktik hat Cyberangriffe noch bedrohlicher gemacht, da böswillige Akteure nun die gestohlenen Daten nutzen können, um Opfer zur Zahlung von Lösegeld zu zwingen, selbst wenn sie über solide Backup-Strategien verfügen.

Konzentrieren Sie sich auf den Diebstahl von Daten zur Erpressung

Ransomware-Banden haben erkannt, dass der Diebstahl von Daten zu Erpressungszwecken lukrativere Ergebnisse liefern kann, als sich einfach auf Verschlüsselung zu verlassen, um die Opfer als Geiseln zu halten. Durch das Herausfiltern vertraulicher Informationen können Angreifer nun damit drohen, die gestohlenen Daten im Dark Web zu veröffentlichen oder zu verkaufen, was möglicherweise erheblichen finanziellen Schaden und Reputationsschaden für Unternehmen verursacht. Dieser zusätzliche Druck erhöht die Wahrscheinlichkeit, dass Opfer das geforderte Lösegeld zahlen.

Priorisierung von Datendiebstahl bei Angriffen

Im Einklang mit diesem Wandel haben Ransomware-Banden wie Lace Tempest begonnen, Datendiebstahl bei ihren Angriffen in den Vordergrund zu stellen. Durch die Entwicklung ausgefeilter Angriffstaktiken wie die Verwendung von PowerShell-Befehlen, der TrueBot-DLL und dem Cobalt Strike Beacon sind diese böswilligen Akteure in der Lage, anfällige Systeme zu infiltrieren und Daten zu exfiltrieren, bevor sie verschlüsselt werden, was ihre Chancen auf eine erfolgreiche Erpressung effektiv erhöht.

Die Geschichte der Clop Gang mit der Ausnutzung von Schwachstellen zur Datenexfiltration

Die Clop-Bande hat in der Vergangenheit Sicherheitslücken zur Datenexfiltration ausgenutzt. Beispielsweise haben Clop-Mitarbeiter im Jahr 2020 Global Accellion erfolgreich gehackt und Daten von etwa 100 Unternehmen gestohlen, indem sie offengelegte Schwachstellen in der File Transfer Appliance-Anwendung des Unternehmens ausgenutzt haben. Vor Kurzem nutzte die Clop-Bande Zero-Day-Schwachstellen in der sicheren File-Sharing-Plattform GoAnywhere MFT aus, um Daten von 130 Unternehmen zu stehlen. Dieses Muster der Ausnutzung von Schwachstellen für Datendiebstahl in Kombination mit der sich ständig weiterentwickelnden Ransomware-Landschaft verdeutlicht die Notwendigkeit für Unternehmen, robuste Sicherheitsmaßnahmen zu ergreifen und aktuelle Software zu pflegen, um ihre kritischen Vermögenswerte zu schützen.

Wird geladen...