L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté lundi une vulnérabilité de sécurité de haute gravité affectant le logiciel de gestion d’impression PaperCutNG/MF à son catalogue de vulnérabilités exploitées connues ( KEV ), citant des preuves d’exploitation active dans la nature.

La vulnérabilité, identifiée comme CVE-2023-2533 (score CVSS : 8,4), est un bogue de falsification de requête intersite (CSRF) qui pourrait entraîner l’exécution de code à distance.

« PaperCut NG/MF contient une vulnérabilité de falsification de requête intersite (CSRF) qui, dans des conditions spécifiques, pourrait potentiellement permettre à un attaquant de modifier les paramètres de sécurité ou d’exécuter du code arbitraire », a déclaré la CISA dans une alerte.

PaperCut NG/MF est couramment utilisé par les écoles, les entreprises et les administrations pour gérer les tâches d’impression et contrôler les imprimantes réseau. La console d’administration fonctionnant généralement sur des serveurs web internes, une vulnérabilité exploitée ici pourrait permettre aux attaquants de pénétrer facilement dans des systèmes plus vastes si elle n’était pas détectée.

Dans un scénario d’attaque potentiel, un acteur malveillant pourrait exploiter la faille pour cibler un utilisateur administrateur avec une session de connexion en cours et le tromper en l’incitant à cliquer sur un lien spécialement conçu qui conduit à des modifications non autorisées.

On ignore actuellement comment cette vulnérabilité est exploitée lors d’attaques réelles. Cependant, étant donné que les failles de la solution logicielle ont été exploitées par des acteurs étatiques iraniens ainsi que par des groupes de cybercriminalité comme Bl00dy , Cl0p et le rançongiciel LockBit pour obtenir un accès initial, il est essentiel que les utilisateurs appliquent les mises à jour nécessaires, si ce n’est pas déjà fait.

Au moment de la rédaction de ce document, aucune preuve de concept publique n’était disponible, mais des attaquants pourraient exploiter la faille via un e-mail d’hameçonnage ou un site malveillant incitant un administrateur connecté à déclencher la requête. L’atténuation du problème ne se limite pas à l’application de correctifs : les organisations doivent également vérifier les délais d’expiration des sessions, restreindre l’accès administrateur aux adresses IP connues et appliquer une validation rigoureuse des jetons CSRF.

Conformément à la directive opérationnelle contraignante (BOD) 22-01, les agences du Federal Civilian Executive Branch (FCEB) sont tenues de mettre à jour leurs instances vers une version corrigée avant le 18 août 2025.

Les administrateurs doivent effectuer des vérifications croisées avec les techniques MITRE ATT&CK telles que T1190 (Exploit Public-Facing Application) et T1071 (Application Layer Protocol) afin d’harmoniser les règles de détection. Pour une perspective plus large, le suivi des incidents PaperCut par rapport aux points d’entrée des ransomwares ou aux vecteurs d’accès initiaux peut contribuer à élaborer des stratégies de renforcement à long terme.