Une nouvelle vulnérabilité critique dans Papercut a été mise au jour, exposant les serveurs non patchés à des attaques d’exécution de code à distance (RCE). Rappelons que plus tôt cette année, deux vulnérabilités majeures avaient déjà été identifiées, la ZDI-CAN-18987 et la ZDI-CAN-19226, affectant l’ensemble des systèmes d’exploitation.
Le danger du ransomware
La nouvelle vulnérabilité, indexée sous l’identifiant CVE-2023-27352, est d’autant plus préoccupante qu’elle permettrait aux cybercriminels de lancer des attaques de ransomwares sur des serveurs non patchés.
Les hackers exploitent les failles de sécurité pour infecter les serveurs avec des ransomwares, bloquant l’accès aux données jusqu’à ce qu’une rançon soit payée. Avec plus de 90 000 serveurs exposés, selon le moteur de recherche de sécurité Shodan, les conséquences potentielles sont graves.
Comment vérifier si un serveur est vulnérable ?
Il est possible de vérifier si un serveur est vulnérable à la nouvelle attaque CVE-2023-27352 en utilisant la commande suivante dans une interface de ligne de commande (CLI) :
curl -w "%{http_code}" -k --path-as-is "https://<IP>:<port>/custom-report-example/......\deployment\sharp\icons\home-app.png"Un code de réponse “200” indique que le serveur est vulnérable et doit être patché. Pour ceux qui ne peuvent pas installer immédiatement les mises à jour de sécurité, il est possible d’ajouter uniquement les adresses IP qui ont besoin d’accès à une liste blanche, en suivant les instructions de Horizon3.
Selon une recherche sur Shodan, environ 1 800 serveurs PaperCut sont actuellement exposés en ligne, bien que tous ne soient pas vulnérables à la nouvelle attaque CVE-2023-27352.
