Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло новую уязвимость в свой Каталог известных эксплуатируемых уязвимостей (KEV). Предупреждение касается программного обеспечения для управления печатью PaperCut NG/MF, в котором обнаружена критическая брешь, уже активно используемая злоумышленниками в реальных атаках.
Уязвимость, получившая идентификатор CVE-2023-2533, относится к типу «межсайтовая подделка запроса» (CSRF) и имеет высокий рейтинг опасности с оценкой 8.4 по шкале CVSS. Проблема позволяет атакующему при определенных условиях удаленно выполнять произвольный код (RCE) на сервере, изменять настройки безопасности и получать несанкционированный контроль над системой. На данный момент публичного эксплойта (PoC) для этой уязвимости не существует.
Механизм атаки заключается в обмане администратора, у которого есть активная сессия в системе PaperCut. Злоумышленник отправляет жертве специально созданную ссылку, например, через фишинговое письмо или вредоносный сайт. Один клик по такой ссылке инициирует запрос к серверу от имени администратора, что приводит к выполнению несанкционированных действий или кода без его ведома.
Хотя точные методы текущих атак неизвестны, ПО PaperCut исторически привлекало внимание серьезных киберпреступных группировок. В прошлом уязвимости в этом продукте использовались для первоначального проникновения в сети. Среди атакующих были замечены как иранские государственные хакерские группы, так и операторы программ-вымогателей, включая Bl00dy, Cl0p и LockBit.
В связи с активной эксплуатацией уязвимости, CISA выпустило Обязательную оперативную директиву (BOD) 22-01. Это распоряжение обязывает все федеральные гражданские ведомства исполнительной власти США (FCEB) принять срочные меры для устранения угрозы в своих сетях.
Для выполнения директивы ведомствам установлен строгий срок. Они должны обновить все экземпляры PaperCut NG/MF до исправленной версии не позднее 18 августа 2025 года. Этот шаг является обязательным для защиты правительственных сетей от потенциального взлома.
Основной и первоочередной мерой по снижению риска является немедленное применение исправлений и обновлений, выпущенных разработчиком PaperCut. Игнорирование этого шага оставляет систему открытой для атак, которые уже происходят.
Помимо установки патчей, CISA рекомендует всем организациям, использующим это ПО, предпринять дополнительные шаги для усиления защиты. Ключевые меры включают пересмотр и сокращение времени ожидания сессии (session timeouts), ограничение доступа к панели администратора только с доверенных IP-адресов и принудительное включение строгой проверки токенов для защиты от CSRF.
Для обнаружения попыток эксплуатации рекомендуется использовать правила, основанные на фреймворке MITRE ATT&CK. Особое внимание следует уделить техникам T1190 (Эксплуатация общедоступного приложения) и T1071 (Протокол прикладного уровня). Отслеживание инцидентов, связанных с PaperCut, поможет в долгосрочной перспективе укрепить системы против векторов первоначального доступа, часто используемых программами-вымогателями.
Изображение носит иллюстративный характер
Уязвимость, получившая идентификатор CVE-2023-2533, относится к типу «межсайтовая подделка запроса» (CSRF) и имеет высокий рейтинг опасности с оценкой 8.4 по шкале CVSS. Проблема позволяет атакующему при определенных условиях удаленно выполнять произвольный код (RCE) на сервере, изменять настройки безопасности и получать несанкционированный контроль над системой. На данный момент публичного эксплойта (PoC) для этой уязвимости не существует.
Механизм атаки заключается в обмане администратора, у которого есть активная сессия в системе PaperCut. Злоумышленник отправляет жертве специально созданную ссылку, например, через фишинговое письмо или вредоносный сайт. Один клик по такой ссылке инициирует запрос к серверу от имени администратора, что приводит к выполнению несанкционированных действий или кода без его ведома.
Хотя точные методы текущих атак неизвестны, ПО PaperCut исторически привлекало внимание серьезных киберпреступных группировок. В прошлом уязвимости в этом продукте использовались для первоначального проникновения в сети. Среди атакующих были замечены как иранские государственные хакерские группы, так и операторы программ-вымогателей, включая Bl00dy, Cl0p и LockBit.
В связи с активной эксплуатацией уязвимости, CISA выпустило Обязательную оперативную директиву (BOD) 22-01. Это распоряжение обязывает все федеральные гражданские ведомства исполнительной власти США (FCEB) принять срочные меры для устранения угрозы в своих сетях.
Для выполнения директивы ведомствам установлен строгий срок. Они должны обновить все экземпляры PaperCut NG/MF до исправленной версии не позднее 18 августа 2025 года. Этот шаг является обязательным для защиты правительственных сетей от потенциального взлома.
Основной и первоочередной мерой по снижению риска является немедленное применение исправлений и обновлений, выпущенных разработчиком PaperCut. Игнорирование этого шага оставляет систему открытой для атак, которые уже происходят.
Помимо установки патчей, CISA рекомендует всем организациям, использующим это ПО, предпринять дополнительные шаги для усиления защиты. Ключевые меры включают пересмотр и сокращение времени ожидания сессии (session timeouts), ограничение доступа к панели администратора только с доверенных IP-адресов и принудительное включение строгой проверки токенов для защиты от CSRF.
Для обнаружения попыток эксплуатации рекомендуется использовать правила, основанные на фреймворке MITRE ATT&CK. Особое внимание следует уделить техникам T1190 (Эксплуатация общедоступного приложения) и T1071 (Протокол прикладного уровня). Отслеживание инцидентов, связанных с PaperCut, поможет в долгосрочной перспективе укрепить системы против векторов первоначального доступа, часто используемых программами-вымогателями.
