La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el lunes un software de gestión de imprimación de papel que impacta la vulnerabilidad de papel de alta severidad a su catálogo de vulnerabilidades explotadas (KEV) de alta severa, citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2023-2533 (puntaje CVSS: 8.4), es un error de falsificación de solicitud de sitio cruzado (CSRF) que podría dar lugar a la ejecución de código remoto.
«PaperCut Ng/MF contiene una vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF), que, en condiciones específicas, podría permitir que un atacante altere la configuración de seguridad o ejecute código arbitrario», dijo CISA en una alerta.
PaperCut Ng/MF es comúnmente utilizado por escuelas, empresas y oficinas gubernamentales para administrar empleos impresos e impresoras de redes de control. Debido a que la consola de administración generalmente se ejecuta en servidores web internos, una vulnerabilidad explotada aquí podría dar a los atacantes un punto de apoyo fácil en sistemas más amplios si se pasa por alto.
En un posible escenario de ataque, un actor de amenaza podría aprovechar la falla para dirigirse a un usuario administrador con una sesión de inicio de sesión actual, y engañarlos para que haga clic en un enlace especialmente elaborado que conduce a cambios no autorizados.
Actualmente no se sabe cómo se explota la vulnerabilidad en los ataques del mundo real. Pero dado que los actores iraníes del estado-estado han abusado de las deficiencias en la solución de software, así como grupos de delitos electrónicos como BL00DY, CL0P y Lockbit Ransomware para el acceso inicial, es esencial que los usuarios apliquen las actualizaciones necesarias, si no es así.
Al momento de escribir, no hay prueba de concepto pública disponible, pero los atacantes podrían explotar el error a través de un correo electrónico de phishing o un sitio malicioso que engaña a un administrador iniciado para activar la solicitud. La mitigación requiere más que parches: las organizaciones también deben revisar los tiempos de espera de la sesión, restringir el acceso de administrador a las IP conocidas y hacer cumplir una fuerte validación de token CSRF.
De conformidad con la Directiva Operativa vinculante (BOD) 22-01, las agencias federales de rama ejecutiva civil (FCEB) deben actualizar sus instancias a una versión parcheada antes del 18 de agosto de 2025.
Los administradores deben verificar con técnicas MITER ATT & CK como T1190 (aplicación de orientación pública) y T1071 (protocolo de capa de aplicación) para alinear las reglas de detección. Para un contexto más amplio, el seguimiento de los incidentes de papel de papel en relación con los puntos de entrada de ransomware o los vectores de acceso inicial pueden ayudar a dar forma a las estrategias de endurecimiento a largo plazo.