2025年7月29日Ravie Lakshmanan脆弱性 / ソフトウェアセキュリティ
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は月曜日、PaperCut NG/MFプリント管理ソフトウェアに影響を与える高深刻度のセキュリティ脆弱性を、既知の悪用脆弱性(KEV)カタログに追加しました。これは実際に悪用されている証拠があるためです。
この脆弱性はCVE-2023-2533(CVSSスコア:8.4)として追跡されており、クロスサイトリクエストフォージェリ(CSRF)のバグで、リモートコード実行につながる可能性があります。
「PaperCut NG/MFにはクロスサイトリクエストフォージェリ(CSRF)の脆弱性が含まれており、特定の条件下で攻撃者がセキュリティ設定を変更したり、任意のコードを実行したりすることが可能になる場合があります」とCISAは警告しています。
PaperCut NG/MFは、学校、企業、政府機関などで印刷ジョブの管理やネットワークプリンターの制御によく利用されています。管理コンソールが通常は内部Webサーバー上で動作しているため、ここで脆弱性が悪用されると、見逃された場合に攻撃者がより広範なシステムに簡単に足がかりを得る可能性があります。
想定される攻撃シナリオでは、脅威アクターがこの脆弱性を利用して、現在ログイン中の管理者ユーザーを標的とし、特別に細工されたリンクをクリックさせて不正な変更を行わせることができます。
現時点では、実際の攻撃でどのようにこの脆弱性が悪用されているかは不明です。しかし、ソフトウェアの欠陥がイランの国家支援アクターや、Bl00dy、Cl0p、LockBitなどのeクライムグループによって初期アクセスのために悪用されてきたことを考えると、ユーザーはまだであれば必要なアップデートを適用することが不可欠です。
執筆時点では、公開された概念実証(PoC)は存在しませんが、攻撃者はフィッシングメールや、ログイン中の管理者にリクエストを実行させる悪意のあるサイトを利用してこのバグを悪用する可能性があります。対策にはパッチ適用だけでなく、セッションタイムアウトの見直し、管理者アクセスの既知IPへの制限、強力なCSRFトークン検証の徹底も必要です。
拘束的運用指令(BOD)22-01に基づき、連邦民間行政機関(FCEB)は2025年8月18日までに自組織のインスタンスをパッチ済みバージョンに更新する必要があります。
管理者は、MITRE ATT&CKのT1190(公開アプリケーションの悪用)やT1071(アプリケーション層プロトコル)などの手法と照らし合わせて検知ルールを調整すべきです。より広い文脈として、PaperCut関連のインシデントをランサムウェアの侵入経路や初期アクセスベクトルと関連付けて追跡することで、長期的なセキュリティ強化戦略の策定に役立ちます。
翻訳元: https://thehackernews.com/2025/07/cisa-adds-papercut-ngmf-csrf.html