La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el lunes una vulnerabilidad de seguridad de alta resistencia que afecte el software de gestión de impresión PaperCutng/MF a su explotación conocida de explotación en la naturaleza, citando evidencia de explotación agresiva.
La vulnerabilidad rastreada como CVE-2023-2533 (puntaje CVSS: 8.4) es un error de falsificación de solicitud de sitio cruzado (CSRF) que podría conducir a la ejecución de código remoto.
«PaperCut Ng/MF contiene una vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF) que podría permitir que un atacante cambie la configuración de seguridad o ejecute código arbitrario bajo ciertas condiciones», dijo CISA en una advertencia.
PaperCut Ng/MF es comúnmente utilizado por escuelas, empresas y agencias gubernamentales para administrar empleos impresos e impresoras de redes de control. La consola de administración generalmente se ejecuta en un servidor web interno, por lo que las vulnerabilidades explotadas aquí pueden permitir fácilmente que un atacante entre en un sistema más amplio si se pasa por alto la supervisión.
En un posible escenario de ataque, los actores de amenaza pueden aprovechar las fallas para dirigir a los usuarios de los administradores en sus sesiones de inicio de sesión actuales, engañarlas y hacer clic en enlaces especialmente creados que conducen a cambios no autorizados.
Actualmente, no sabemos cómo se explotan las vulnerabilidades en ataques reales. Sin embargo, dado que el inconveniente de las soluciones de software es que están siendo abusados por los actores iraníes del estado-nación y los grupos de delitos electrónicos como BL00DY, CL0P y Lockbit Ransomware, es esencial que el usuario aplique las actualizaciones necesarias, si aún no necesarias, para el acceso inicial.
Al momento de escribir este artículo, la prueba de concepto pública no está disponible, pero los atacantes pueden explotar el error a través de correos electrónicos de phishing o sitios maliciosos que engañan a un administrador que registra las solicitudes. La mitigación requiere más que parches. Las organizaciones deben verificar los tiempos de espera de la sesión, limitar el acceso administrativo a las IP conocidas y realizar una validación de token CSRF fuerte.
Se requiere una agencia de la División Federal de Control Civil (FCEB) para actualizar la instancia a una versión de parche antes del 18 de agosto de 2025 de acuerdo con la Directiva de Operaciones Binteriantes (BOD) 22-01.
Los administradores deben verificar las técnicas de MITER ATT & CK, como el T1190 (aplicaciones publicadas públicamente) y T1071 (protocolo de capa de aplicación) para ajustar las reglas de detección. Para un contexto más amplio, el seguimiento de los incidentes de corte de papel relacionados con los puntos de entrada de ransomware o los vectores de acceso inicial pueden ayudar a dar forma a las estrategias de endurecimiento a largo plazo.
Source link
