Des attaques PaperCut sur les organisations éducatives.

5/5 - (5 votes)

Des attaques PaperCut sur les organisations éducatives.

FBI: Bl00dy Ransomware cible les organisations éducatives dans des attaques de failles PaperCut.

Le FBI et la CISA ont publié un avis conjoint pour avertir que le gang Bl00dy Ransomware exploite également activement une vulnérabilité d’exécution de code à distance PaperCut pour obtenir un accès initial aux réseaux. L’Agence américaine de cybersécurité et de sécurité des infrastructures mentionne que l’acteur de la menace a concentré ses attaques sur le secteur de l’éducation, qui a une exposition publique importante de la faille. Les serveurs de gestion d’impression équipés de la solution PaperCut sont la cible de nombreuses attaques. (Sources)

La faille de sécurité CVE-2023-27350 se présente comme une vulnérabilité qui permet aux attaquants distants de contourner l’authentification sur les installations affectées de PaperCut NG 22.0.5 (Build 63914). En effet l’authentification n’est pas nécessaire pour exploiter cette vulnérabilité, ce qui la rend particulièrement intéressante dans les cyberattaques. Un attaquant peut exploiter cette vulnérabilité pour contourner l’authentification et exécuter du code arbitraire à distance dans le système d’exploitation.

Il est courant que les gangs de ransomwares exploitent des vulnérabilités connues pour obtenir un accès initial aux réseaux cibles. Les ransomwares sont des logiciels malveillants conçus pour chiffrer les données d’un système ou d’un réseau et exiger une rançon en contrepartie de la fourniture d’une clé de déchiffrement. Les gangs de ransomwares recherchent en permanence de nouvelles façons d’infiltrer les systèmes via des failles critiques. Ces groupes de pirates peuvent tirer parti de vulnérabilités logicielles connues pour réussir leurs cyberattaques. Malgré le paiement de la rançon, certains groupes cybercriminels peu scrupuleux n’hésitent pas à diffuser les informations volées sur le dark net.

D’où l’importance de maintenir à jour les systèmes, les réseaux et les logiciels avec les derniers correctifs de sécurité. Il s’agit de mettre en œuvre des solutions de sécurité robustes telles que des pare-feu et des logiciels antivirus. Il va sans dire qu’il faut aussi adopter des bonnes pratiques en matière de cybersécurité et sensibiliser le personnel aux risques de pénétration dans les réseaux. La sensibilisation des utilisateurs est cruciale et complémentaire à une sauvegarde régulière du système et des données afin de réduire les risques d’attaque par rançongiciel.


Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent mais sans véritable garantie. De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


La Cybersecurity and Infrastructure Security Agency (CISA) est une agence fédérale américaine sous la supervision du département de la Sécurité intérieure des États-Unis, créée le 16 novembre 2018 à la suite de la promulgation du Cybersecurity and Infrastructure Security Agency Act (en) de 2018. Son objectif est d'améliorer le niveau de sécurité informatique à tous les niveaux du gouvernement. En cybersécurité, la mission du CISA est de diriger les efforts visant à protéger le domaine fédéral des réseaux du gouvernement civil. Elle vise aussi à collaborer avec le secteur privé pour accroître la sécurité des réseaux critiques. La CISA dirige l'effort national pour comprendre, gérer et réduire les risques pour l'infrastructure cyber et physique sur laquelle les Américains comptent à chaque heure de chaque jour. Sa mission s'étend à trois domaines principaux : la cybersécurité, la sécurité des infrastructures et les communications d'urgence.


Le Federal Bureau of Investigation, ou très couramment nommé par son sigle FBI, est, aux États-Unis, le principal service fédéral de police judiciaire et un service de renseignement intérieur.

A propos de l'auteur

Retour en haut