**Alerta de CISA: Vulnerabilidad crítica en PaperCut NG/MF permite ejecución remota vía CSRF**
—
### Introducción
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha emitido una alerta urgente dirigida a profesionales de ciberseguridad, administradores de sistemas y responsables de protección digital. El motivo: la explotación activa de una vulnerabilidad de alta gravedad en el software de gestión de impresión PaperCut NG/MF, ampliamente utilizado en entornos corporativos y educativos. Esta falla permite a actores maliciosos lograr la ejecución remota de código mediante ataques de Cross-Site Request Forgery (CSRF), abriendo la puerta a compromisos significativos de la infraestructura TI.
—
### Contexto del Incidente o Vulnerabilidad
PaperCut NG/MF es una solución de gestión de impresión que facilita el control, seguimiento y administración de servicios de impresión en redes empresariales y educativas. Su adopción global y la criticidad de sus funciones lo convierten en un objetivo recurrente para atacantes. En las últimas semanas, múltiples fuentes, entre ellas CISA y el equipo de seguridad de PaperCut, han confirmado la explotación activa de una vulnerabilidad identificada como CVE-2023-27350, catalogada con una puntuación CVSS de 8.6 (alta severidad).
Según los informes, grupos de amenazas han comenzado a emplear esta vulnerabilidad para obtener acceso no autorizado y persistente en redes organizativas, comprometiendo la confidencialidad e integridad de los sistemas afectados. El incidente es especialmente relevante en el contexto de la directiva Binding Operational Directive (BOD) 22-01 de CISA, que obliga a las agencias federales a remediar vulnerabilidades críticas en plazos reducidos.
—
### Detalles Técnicos
**CVE Asociado y Versiones Afectadas**
El fallo, registrado como CVE-2023-27350, afecta a las siguientes versiones de PaperCut NG/MF:
– PaperCut NG/MF versiones 8.0 hasta 22.0.8 (inclusive)
– Versiones afectadas tanto en instalaciones Windows como Linux
**Vector de Ataque y TTPs**
La vulnerabilidad reside en la incorrecta validación de las peticiones CSRF, lo que permite que un atacante, engañando a un usuario autenticado para visitar un sitio web malicioso, ejecute comandos arbitrarios en el servidor PaperCut bajo el contexto del usuario legítimo. El ataque puede facilitar la ejecución remota de código (RCE) y la posterior escalada de privilegios.
– **MITRE ATT&CK TTPs relevantes**:
– T1190 (Exploit Public-Facing Application)
– T1059 (Command and Scripting Interpreter)
– T1078 (Valid Accounts)
**IoCs y Herramientas Observadas**
En los incidentes reportados, se ha observado el uso de scripts automatizados para explotar el fallo, así como la integración de payloads mediante frameworks como Metasploit y Cobalt Strike. Los indicadores de compromiso (IoCs) incluyen conexiones inusuales al puerto 9191 (predeterminado de PaperCut), creación de nuevos usuarios administrativos y ejecución de comandos PowerShell o Bash no autorizados.
—
### Impacto y Riesgos
El impacto potencial de esta vulnerabilidad es crítico, especialmente en entornos donde PaperCut gestiona impresoras de red y recursos compartidos con permisos elevados. Los riesgos identificados incluyen:
– Ejecución remota de código con privilegios de sistema
– Acceso a datos confidenciales (documentos de impresión, credenciales)
– Puente de acceso para movimientos laterales en la red interna
– Despliegue de ransomware o malware adicional
– Incumplimiento de normativas como GDPR y NIS2, con el consiguiente riesgo regulatorio y sancionador
Según estimaciones de CISA y fuentes del sector, hasta un 10% de las instalaciones globales de PaperCut NG/MF podrían estar expuestas, lo que podría afectar a miles de organizaciones.
—
### Medidas de Mitigación y Recomendaciones
PaperCut ha publicado actualizaciones de emergencia para mitigar el riesgo, recomendando actualizar a la versión 22.0.9 o superior de inmediato. Las mejores prácticas incluyen:
– Aplicar los últimos parches de seguridad publicados por el fabricante
– Restringir el acceso externo al puerto de administración de PaperCut (por defecto, 9191/TCP)
– Monitorizar logs de acceso y eventos de impresión en busca de comportamientos anómalos
– Revisar y revocar cuentas administrativas sospechosas creadas recientemente
– Implementar autenticación multifactor (MFA) para usuarios administrativos
– Segmentar la red para aislar los servicios de impresión del resto de la infraestructura
—
### Opinión de Expertos
Especialistas como John Hammond (Huntress Labs) y la comunidad de SANS Institute han subrayado la importancia de priorizar la gestión de vulnerabilidades en servicios periféricos como la impresión, a menudo desatendidos en las políticas de ciberseguridad tradicionales. Coinciden en que la explotación activa de CVE-2023-27350 evidencia la tendencia creciente de los atacantes a buscar vectores no convencionales, empleando técnicas automatizadas y frameworks de testing ofensivo.
—
### Implicaciones para Empresas y Usuarios
Las organizaciones que no actualicen sus sistemas corren el riesgo de sufrir brechas de datos, interrupciones operativas y daños reputacionales. Además, la exposición de datos de impresión puede vulnerar confidencialidad de información estratégica y datos personales protegidos por GDPR. Para los usuarios finales, el riesgo incluye la posible suplantación de identidad y la pérdida de privacidad.
—
### Conclusiones
La explotación activa de la vulnerabilidad CVE-2023-27350 en PaperCut NG/MF es un recordatorio de la necesidad de una gestión proactiva y continua de las superficies de ataque. Los equipos de ciberseguridad deben priorizar la actualización de software, reforzar la monitorización y adoptar una mentalidad de defensa en profundidad, especialmente en servicios considerados “no críticos” pero esenciales para la operativa diaria. La colaboración entre fabricantes, CERTs y la comunidad de ciberseguridad es clave para mitigar rápidamente este tipo de amenazas emergentes.
(Fuente: www.bleepingcomputer.com)