Falla di sicurezza nel software di stampa PaperCut

Esperti di sicurezza informatica hanno identificato una nuova falla di sicurezza di alta gravità nel software di gestione della stampa PaperCut per Windows, che potrebbe portare all'esecuzione del codice da remoto in circostanze specifiche. Designata come CVE-2023-39143 (punteggio CVSS: 8.4), la difesa incide su PaperCut NG/MF precedenti alla versione 22.1.3. Ci riferiamo ad un problema di percorso e caricamento di file.

Impatto e potenziali conseguenze della falla

"CVE-2023-39143 consente a un aggressore non autenticato di leggere, cancellare e caricare file a suo piacimento sul server dell'applicazione PaperCut MF/NG, portando all'esecuzione del codice remoto in determinate configurazioni" ha affermato Naveen Sunkavally di Horizon3.ai. L'esecuzione di codice remoto è possibile quando è attivata l'impostazione dell'integrazione del dispositivo esterno, la quale è abilitata di default in alcune installazioni di PaperCut.

Confronto tra CVE-2023-39143 e CVE-2023-27350

Ad aprile, una vulnerabilità di esecuzione del codice remoto nello stesso prodotto (CVE-2023-27350, punteggio CVSS: 9.8) ed un difetto di rivelazione di informazioni (CVE-2023-27351) sono stati abbondantemente sfruttati per inviare Cobalt Strike e ransomware. Anche attori statali iraniani hanno abusato di queste vulnerabilità per ottenere un accesso iniziale alle reti target. "A differenza di CVE-2023-27350, CVE-2023-39143 non richiede agli aggressori di avere privilegi pregressi per poter sfruttare la vulnerabilità e non è richiesta alcuna interazione da parte dell'utente" ha commentato Sunkavally.

Interventi di mitigazione

PaperCut, con la versione 22.1.3, ha corretto anche una falla di sicurezza che potrebbe consentire a un aggressore non autenticato con accesso diretto all'IP del server di caricare file a piacimento in una cartella target, provocando un potenziale rifiuto del servizio (CVE-2023-3486, punteggio CVSS: 7.4). Tenable è stata riconosciuta per aver scoperto e segnalato il problema.