Des rapports font état de l'exploitation active d'une vulnérabilité critique (CVE-2023-27350) dans PaperCut MF (Multifunction) et NG (Next Generation). PaperCut MF et NG sont des solutions de gestion d'impression utilisées pour gérer et contrôler les activités d'impression et de copie dans les environnements d'impression en réseau des utilisateurs.

L'exploitation réussie de cette vulnérabilité pourrait permettre à un acteur non authentifié de réaliser une exécution de code à distance (RCE) sur les serveurs d'application PaperCut. Cette vulnérabilité serait également exploitée pour déployer des ransomwares sur le réseau des utilisateurs.

Un correctif de sécurité a été publié pour corriger cette faille critique. Veuillez se référer au bulletin de sécurité maCERT « 41710505 /23 » pour plus d’information.
La détection des tentatives d'exploitation doivent se concentrer sur les trois domaines clés suivants :

• Signatures du trafic réseau - Recherchez un trafic réseau anormal tentant d'accéder à la page "SetupCompleted" d'un serveur PaperCut exposé et vulnérable.
• Surveillance du système - Recherchez les sous processus créés à partir du processus "pc-app.exe" d'un serveur PaperCut.
• Paramètres du serveur et fichiers journaux - Recherchez des preuves d'activités malveillantes dans les paramètres du serveur PaperCut et dans les fichiers journaux.