La recente decisione della CISA di aggiungere la vulnerabilità CSRF di PaperCut NG/MF al proprio catalogo Known Exploited Vulnerabilities (KEV) segna un allarme importante per la sicurezza informatica di moltissime organizzazioni. La vulnerabilità, identificata come CVE-2023-2533 con un punteggio CVSS di 8.4, interessa la piattaforma di gestione delle stampe PaperCut NG/MF, diffusissima in scuole, aziende e uffici governativi per la gestione dei lavori di stampa e il controllo delle stampanti di rete. Il rischio principale è che, sfruttando questa falla di tipo cross-site request forgery, un attaccante possa ottenere l’esecuzione di codice remoto o alterare le impostazioni di sicurezza del sistema.

CISA avverte che, in presenza di condizioni specifiche, un aggressore può indurre un amministratore autenticato a cliccare su un link malevolo, portando a modifiche non autorizzate o anche all’esecuzione di codice arbitrario. Questo tipo di attacco può essere orchestrato tramite email di phishing o siti web costruiti ad hoc, senza che sia necessario un exploit pubblico già disponibile. Tuttavia, il rischio rimane elevato perché l’interfaccia amministrativa di PaperCut NG/MF è solitamente esposta su server interni, rendendo la vulnerabilità un potenziale punto di ingresso privilegiato per attaccanti intenzionati a compromettere reti più ampie.

Nel recente passato, vulnerabilità di PaperCut sono state sfruttate da gruppi sponsorizzati da stati come quelli iraniani e da cybercriminali noti, tra cui le gang di ransomware Bl00dy, Cl0p e LockBit, spesso proprio per ottenere accesso iniziale alle infrastrutture IT prese di mira. Per questo motivo, la CISA ha imposto a tutte le agenzie federali di aggiornare le proprie istanze vulnerabili entro il 18 agosto 2025. Si raccomanda vivamente anche alle organizzazioni private di applicare tempestivamente le patch rese disponibili dal produttore.

Oltre agli aggiornamenti software, è consigliato rivedere le scadenze delle sessioni, limitare l’accesso amministrativo agli indirizzi IP conosciuti e rafforzare la validazione dei token CSRF. L’adozione di queste misure è cruciale per ridurre la superficie di attacco e mitigare il rischio di compromissioni future. Gli amministratori dovrebbero inoltre allineare i controlli di rilevamento ai framework MITRE ATT&CK, in particolare alle tecniche T1190 e T1071, per una migliore capacità di identificazione e risposta. Monitorare gli incidenti legati a PaperCut può inoltre aiutare a individuare tempestivamente tentativi di ransomware e migliorare a lungo termine la postura di sicurezza aziendale.