De Amerikaanse cybersecurity en infrastructuurbeveiligingsbureau (CISA) heeft maandag een kwetsbaarheid van de beveiliging van de hoge severy toegevoegd die van invloed is op PaperCutng/MF Print Management-software aan de bekende exploitatedulnerabilities (KEV) -catalogus, die bewijs citeerden van actieve uitbuiting in het wild.
De kwetsbaarheid, gevolgd als CVE-2023-2533 (CVSS-score: 8.4), is een cross-site Request Fevery (CSRF) -bug die kan leiden tot externe code-uitvoering.
“PaperCut NG/MF bevat een kwetsbaarheid van Cross-Site Request Fevery (CSRF), die, onder specifieke omstandigheden, mogelijk een aanvaller in staat zou stellen de beveiligingsinstellingen te wijzigen of willekeurige code uit te voeren,” zei CISA in een waarschuwing.
PaperCut NG/MF wordt vaak gebruikt door scholen, bedrijven en overheidskantoren om printbanen te beheren en netwerkprinters te besturen. Omdat de admin -console meestal op interne webservers draait, kan een uitgebuite kwetsbaarheid hier aanvallers een gemakkelijke voet in bredere systemen geven als het over het hoofd wordt gezien.
In een potentieel aanvalsscenario zou een dreigingsacteur de fout kunnen benutten om een admin -gebruiker te targeten met een huidige inlogsessie en ze te bedriegen om te klikken op een speciaal vervaardigde link die leidt tot ongeoorloofde wijzigingen.
Het is momenteel niet bekend hoe de kwetsbaarheid wordt benut in real-world aanvallen. Maar gezien het feit dat tekortkomingen in de softwareoplossing zijn misbruikt door Iraanse natiestatenactoren en e-misdaadgroepen zoals BL00DY, CL0P en Lockbit-ransomware voor initiële toegang, is het essentieel dat gebruikers de nodige updates toepassen, zo niet al.
Op het moment van schrijven is er geen openbaar proof-of-concept beschikbaar, maar aanvallers konden de bug exploiteren via een phishing-e-mail of een kwaadwillende site die een ingelogde admin misbruikt om het verzoek te activeren. Mitigatie vereist meer dan patchen – organisaties moeten ook sessie time -outs bespreken, admin -toegang tot bekende IP’s beperken en een sterke CSRF -tokenvalidatie afdwingen.
Op grond van bindende operationele richtlijn (BOD) 22-01, moeten federale civiele executive tak (FCEB) agentschappen hun instanties bijwerken naar een gepatchte versie tegen 18 augustus 2025.
Admins moeten kruisen met MITER ATT & CK-technieken zoals T1190 (exploiteer openbare toepassing) en T1071 (Application Layer Protocol) om detectieregels uit te lijnen. Voor bredere context kan het volgen van papieren incidenten met betrekking tot ransomware-invoerpunten of initiële toegangsvectoren helpen bij het vormgeven van langdurige hardingsstrategieën.
