In un avviso di sicurezza congiunto L’FBI e la CISA avvertono che la banda ransomware Bl00dy starebbe sfruttando attivamente per ottenere l’accesso iniziale alle reti anche la vulnerabilità di esecuzione di codice remoto CVE-2023-27350 PaperCut.
Il difetto PaperCut
Il difetto di PaperCut, lo ricordiamo, è un punto debole RCE di gravità critica che colpisce il software di gestione della stampa PaperCut MF e PaperCut NG. Sfruttata almeno dal mese di aprile 2023, la vulnerabilità è stata corretta nelle versioni 20.1.7, 21.2.11 e 22.0.9 di PaperCut NG e MF, ma a quanto pare le organizzazioni non sarebbero state solerti nell’installare gli aggiornamenti, lasciandosi esposte agli attacchi.
Gli attacchi ransomware Bl00dy
Secondo l’avviso, gli attacchi ransomware Bl00dy osservati all’inizio di maggio 2023 avrebbero colpito obiettivi il settore dell’istruzione sfruttando CVE-2023-27350 per aggirare l’autenticazione degli utenti, accedere ai server come amministratori e diffondersi lateralmente attraverso le reti allo scopo di esfiltrate dati e crittografare i sistemi di destinazione. La nota di riscatto impone una doppia estorsione per il rilascio di un decryptor e la promessa di non pubblicare o vendere i dati rubati.
Raccomandazioni
Il bollettino CISA fornisce dettagli completi sui metodi di rilevamento per aiutare le organizzazioni a fermare questi tipi di attacchi e che dovrebbero concentrarsi sulle firme del traffico di rete, il monitoraggio dei sistemi e le impostazioni di server e file di registro.
Tuttavia, l’azione principale consigliata resta sempre quella di applicare il prima possibile gli aggiornamenti di sicurezza PaperCut.
