L’agenzia per la sicurezza informatica e delle infrastrutture (CISA) degli Stati Uniti ha recentemente aggiunto una vulnerabilità di sicurezza di alta gravità al suo catalogo Known Exploited Vulnerabilities (KEV). Questa vulnerabilità riguarda il software di gestione delle stampe PaperCut NG/MF ed è stata identificata come CVE-2023-2533, con un punteggio CVSS di 8.4. Si tratta di un bug di falsificazione delle richieste cross-site (CSRF) che potrebbe consentire l’esecuzione remota di codice.
PaperCut NG/MF è ampiamente utilizzato da scuole, aziende e uffici governativi per gestire i lavori di stampa e controllare le stampanti di rete. La console di amministrazione di questo software opera solitamente su server web interni, il che significa che una vulnerabilità sfruttata potrebbe offrire agli aggressori un facile accesso a sistemi più ampi se non viene affrontata tempestivamente.
In uno scenario di attacco potenziale, un malintenzionato potrebbe sfruttare questa falla per colpire un utente amministratore con una sessione di accesso attiva, inducendolo a cliccare su un link appositamente creato che porta a modifiche non autorizzate. Sebbene non sia ancora chiaro come la vulnerabilità venga sfruttata in attacchi reali, è noto che attori statali iraniani e gruppi di criminalità informatica come Bl00dy, Cl0p e LockBit ransomware hanno abusato di carenze simili per ottenere accesso iniziale.
Al momento della stesura di questo articolo, non esiste una prova di concetto pubblica, ma gli aggressori potrebbero sfruttare il bug tramite e-mail di phishing o siti dannosi che ingannano un amministratore connesso per innescare la richiesta. Le organizzazioni sono invitate a rivedere i timeout delle sessioni, limitare l’accesso degli amministratori agli IP noti e applicare una validazione dei token CSRF.
Secondo la direttiva operativa vincolante (BOD) 22-01, le agenzie del ramo esecutivo civile federale (FCEB) devono aggiornare le loro istanze a una versione aggiornata entro il 18 agosto 2025. Gli amministratori dovrebbero utilizzare tecniche MITRE ATT&CK come T1190 (Exploit Public-Facing Application) e T1071 (Application Layer Protocol) per allineare le regole di rilevamento. Monitorare gli incidenti di PaperCut in relazione ai punti di ingresso del ransomware o ai vettori di accesso iniziale può aiutare a definire strategie di indurimento a lungo termine.
Considerazioni finali
Dal nostro punto di vista, la sicurezza informatica è un campo in continua evoluzione e le vulnerabilità come quella di PaperCut NG/MF sottolineano l’importanza di mantenere aggiornati i sistemi e di adottare misure preventive. È essenziale che le organizzazioni non solo reagiscano alle minacce, ma sviluppino anche strategie proattive per proteggere le loro infrastrutture. La collaborazione tra enti governativi, aziende e sviluppatori di software è cruciale per affrontare le sfide della sicurezza informatica in modo efficace e tempestivo.
Fonte: The Hackers News
