Shutter2U - stock.adobe.com

Ransomware : les vulnérabilités de PaperCut exploitées par Cl0p et LockBit

Microsoft indique que les deux groupes exploitent les vulnérabilités CVE-2023-27350 et CVE-2023-27351 du logiciel de gestion d’impression PaperCut pour conduire des cyberattaques avec rançongiciel.

Selon Microsoft, un acteur malveillant, suivi sous le nom de Lace Tempest et référencé DEV-0950 par l’éditeur, exploite (depuis le 13 avril) les vulnérabilités CVE-2023-27350 et CVE-2023-27351 du logiciel de gestion d’impression PaperCut. 

Microsoft a attribué à cet acteur la vaste campagne de cyberattaques lancée fin janvier dernier en exploitant la vulnérabilité CVE-2023-0669 de GoAnywhere MFT. L’éditeur le considère comme un affidé de Cl0p. 

Mais Microsoft indique avoir également constaté des attaques exploitant les deux vulnérabilités de PaperCut et débouchant sur le déclenchement du ransomware LockBit.

Un bulletin d’alerte pour les deux vulnérabilités de PaperCut est disponible depuis le mois de mars. Le 18 avril, il a été mis à jour pour alerter sur leur exploitation active par des acteurs malveillants, sur les serveurs pour lesquels les correctifs n’avaient pas encore été appliqués. 

À ce moment-là, aucun démonstrateur d’exploitation des deux vulnérabilités n’était encore disponible publiquement. Le premier n’a émergé que la semaine dernière.

Pour approfondir sur Menaces, Ransomwares, DDoS