PaperCut está en auge. Los hackers han entrado en miles de empresas, ¿será la tuya la próxima?

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha emitido una advertencia urgente sobre la explotación activa de una grave vulnerabilidad en el popular software de gestión de impresión PaperCut NG y MF. La falla, identificada como CVE-2023-2533, permite a los atacantes ejecutar código arbitrario en el servidor si el administrador del sistema abre un enlace especialmente diseñado. Este tipo de ataque es posible durante una sesión activa del administrador y si existe una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

PaperCut afirma que sus productos están instalados en más de 70 000 organizaciones en todo el mundo, incluidas instituciones educativas, corporaciones y organismos gubernamentales, y que el número total de usuarios supera los 100 millones. A pesar de que el error fue corregido en junio de 2023, CISA indica que la vulnerabilidad sigue siendo explotada activamente, y exige a las agencias federales de EE. UU. que la solucionen antes del 18 de agosto como parte de la directiva BOD 22-01. Esta directiva obliga a todas las agencias civiles a nivel federal a cerrar de inmediato los vectores de ataque conocidos.

Aunque aún no se han revelado detalles específicos sobre los abusos actuales, la organización Shadowserver contabiliza más de 1100 servidores PaperCut NG y MF expuestos en internet. No todos son vulnerables a CVE-2023-2533, pero la existencia de un solo ejemplar vulnerable en una infraestructura crítica podría tener consecuencias graves.

No es la primera vez que PaperCut está en el centro de atención debido a vulnerabilidades. En la primera mitad de 2023, los servidores de esta plataforma fueron objetivo de grupos de ransomware, incluidos LockBit y Clop. Estos utilizaron la vulnerabilidad CVE-2023-27350, que permitía la ejecución remota de código sin autenticación, así como el fallo CVE-2023-27351, relacionado con la fuga de información confidencial.

Microsoft confirmó la implicación de estos grupos y posteriormente informó que también se sumaron hackers iraníes vinculados a los grupos APT MuddyWater y APT35. Durante los ataques, los delincuentes obtuvieron acceso a la función de "archivo de impresión", que permite guardar copias de todos los documentos enviados a imprimir, abriendo así la posibilidad de comprometer información corporativa sensible.

CISA añadió la vulnerabilidad CVE-2023-27350 a su catálogo de vulnerabilidades explotadas el 21 de abril de 2023 y concedió tres semanas para actualizar los sistemas, tras lo cual, junto con el FBI, emitió una advertencia separada. Esta se refería a los ataques del ransomware Bl00dy, dirigidos a instituciones educativas donde el uso de PaperCut es especialmente común.

En vista del historial de compromisos masivos relacionados con este software, CISA insta no solo a las agencias federales, sino también a las empresas privadas, a no demorar la actualización de sus sistemas. La agencia subraya que este tipo de vulnerabilidades sigue siendo una herramienta constante en el arsenal de los atacantes y representa una amenaza real para toda la infraestructura digital.