Američka Agencija za sajber sigurnost i sigurnost infrastrukture (CISA) u ponedjeljak je dodala visokoozbiljnu sigurnosnu ranjivost koja utiče na softver za upravljanje štampanjem PaperCutNG/MF u svoj katalog poznatih iskorištenih ranjivosti ( KEV ), navodeći dokaze o aktivnoj eksploataciji u praksi.
Ranjivost, praćena kao CVE-2023-2533 (CVSS ocjena: 8,4), je greška krivotvorenja zahtjeva na više lokacija (CSRF) koja može rezultirati udaljenim izvršavanjem koda.
„PaperCut NG/MF sadrži ranjivost krivotvorenja zahtjeva na više lokacija (CSRF), koja, pod određenim uvjetima, potencijalno može omogućiti napadaču da promijeni sigurnosne postavke ili izvrši proizvoljni kod“, navodi se u upozorenju CISA-e.
PaperCut NG/MF se često koristi u školama, preduzećima i vladinim uredima za upravljanje zadacima štampanja i kontrolu mrežnih štampača. Budući da administratorska konzola obično radi na internim web serverima, iskorištena ranjivost ovdje bi mogla napadačima omogućiti lak pristup širim sistemima ako se previdi.
U potencijalnom scenariju napada, napadač bi mogao iskoristiti propust kako bi ciljao administratorskog korisnika s trenutnom sesijom prijave i prevario ga da klikne na posebno kreiranu vezu koja vodi do neovlaštenih promjena.
Trenutno nije poznato kako se ranjivost iskorištava u stvarnim napadima. Ali s obzirom na to da su nedostatke u softverskom rješenju zloupotrebljavali iranski državni akteri , kao i grupe za e-kriminal poput Bl00dy , Cl0p i LockBit ransomwarea za početni pristup, neophodno je da korisnici instaliraju potrebna ažuriranja, ako već nisu.
U trenutku pisanja ovog teksta, nije dostupan javni dokaz koncepta, ali napadači bi mogli iskoristiti grešku putem phishing e-pošte ili maliciozne stranice koja prevari prijavljenog administratora da pokrene zahtjev. Ublažavanje zahtijeva više od ažuriranja zakrpa – organizacije bi takođe trebale pregledati vremensko ograničenje sesije, ograničiti administratorski pristup poznatim IP adresama i provesti snažnu validaciju CSRF tokena.
U skladu s Obavezujućom operativnom direktivom (BOD) 22-01, agencije Federalne civilne izvršne vlasti (FCEB) dužne su ažurirati svoje instance na ažuriranu verziju do 18. augusta 2025. godine.
Administratori bi trebali unakrsno provjeriti s MITRE ATT&CK tehnikama poput T1190 (Iskorištavanje javno dostupnih aplikacija) i T1071 (Protokol sloja aplikacije) kako bi uskladili pravila detekcije. Za širi kontekst, praćenje PaperCut incidenata u odnosu na ulazne tačke ransomwarea ili početne vektore pristupa može pomoći u oblikovanju dugoročnih strategija ojačavanja.
Izvor:The Hacker News
