ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Pazartesi günü, vahşi doğada aktif sömürü kanıtı olarak bilinen sömürülen güvenlik açıkları (KEV) kataloğuna PaperCutng/MF baskı yönetim yazılımını etkileyen yüksek şiddetli bir güvenlik açığı ekledi.
CVE-2023-2533 (CVSS skoru: 8.4) olarak izlenen güvenlik açığı, uzaktan kod yürütmesine neden olabilecek siteler arası bir istek (CSRF) hatasıdır.
Cisa, “Kağıtkut NG/MF, belirli koşullar altında, bir saldırganın güvenlik ayarlarını değiştirmesini veya keyfi kod yürütmesini potansiyel olarak sağlayabilecek bir bölgeler arası istek (CSRF) güvenlik açığı içeriyor.” Dedi.
Papercut NG/MF, basılı işleri yönetmek ve ağ yazıcılarını kontrol etmek için okullar, işletmeler ve devlet ofisleri tarafından yaygın olarak kullanılır. Yönetici konsolu tipik olarak dahili web sunucularında çalıştığından, buradaki sömürülen bir güvenlik açığı, göz ardı edilirse saldırganlara daha geniş sistemlere kolay bir dayanak verebilir.
Potansiyel bir saldırı senaryosunda, bir tehdit oyuncusu, geçerli bir oturum oturumu ile bir yönetici kullanıcısını hedeflemek için kusurdan yararlanabilir ve onları yetkisiz değişikliklere yol açan özel hazırlanmış bir bağlantıya tıklamaya kandırabilir.
Şu anda gerçek dünyadaki saldırılarda kırılganlığın nasıl kullanıldığı bilinmemektedir. Ancak, yazılım çözümündeki eksikliklerin İran ulus devlet aktörleri ve BL00DY, CL0P ve Lockbit fidye yazılımları gibi e-suç grupları tarafından başlangıç erişim için istismar edildiği göz önüne alındığında, kullanıcıların zaten değilse gerekli güncellemeleri uygulaması önemlidir.
Yazma sırasında, kamuya açık bir kavram kanıtı mevcut değildir, ancak saldırganlar, bir kimlik avı e-postası veya oturum açmış bir yöneticiyi isteği tetiklemeye kandıran kötü amaçlı bir site aracılığıyla hatayı kullanabilir. Azaltma, yama işleminden daha fazlasını gerektirir – organizasyonlar da oturum zaman aşımlarını gözden geçirmeli, bilinen IP’lere yönetici erişimini kısıtlamalı ve güçlü CSRF belirteç doğrulamasını uygulamalıdır.
Bağlayıcı Operasyonel Direktif (BOD) 22-01 uyarınca, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının örneklerini 18 Ağustos 2025’e kadar yamalı bir versiyona güncellemeleri gerekmektedir.
Yöneticiler, algılama kurallarını hizalamak için T1190 (kamuya açık uygulamadan yararlanma) ve T1071 (uygulama katmanı protokolü) gibi MITER ATT & CK teknikleriyle çapraz kontrol etmelidir. Daha geniş bağlam için, fidye yazılımı giriş noktalarına veya başlangıç erişim vektörlerine göre kağıt kesimi olaylarının izlenmesi, uzun vadeli sertleştirme stratejilerini şekillendirmeye yardımcı olabilir.