La impresora de su oficina podría estar pirateando la red de la empresa, gracias a un software de gestión de impresión vulnerable, advierten los expertos en seguridad.
La empresa de software de gestión de impresión PaperCut publicó un aviso de seguridad en el que dice que hay evidencia de que los actores de amenazas explotan activamente dos fallas para acceder a puntos finales de servidores vulnerables.
La empresa recibió un aviso de los expertos en seguridad cibernética Trend Micro a principios de enero de 2023, quienes llamaron su atención sobre ZDI-CAN-18987 y ZDI-CAN-19226. La primera es una falla de ejecución remota de código no autenticada que se encuentra en PaperCut MF o NG, versiones 8.0 y posteriores, con una puntuación de gravedad de 9.8 (crítica), mientras que la última es una falla de divulgación de información no autenticada en PaperCut MF o NG, versiones 15.0 y posteriores. con una puntuación de gravedad de 8,2 (alta).
Más detalles en mayo
«A partir del 18 de abril de 2023, tenemos evidencia que sugiere que los servidores sin parches están siendo explotados en la naturaleza (particularmente ZDI-CAN-18987 / PO-1216)», dijo la compañía en el aviso. «Como precaución, no podemos revelar demasiado sobre estas vulnerabilidades». Se deberían revelar más detalles el 10 de mayo, dijo la compañía, dando a las empresas suficiente tiempo para asegurar sus redes.
Sin embargo, existen parches y soluciones para las fallas, por lo que se recomienda a los usuarios que aborden el problema de inmediato y minimicen cualquier riesgo potencial.
Los administradores del sistema deben asegurarse de que su software esté actualizado a las versiones 20.1.7, 21.2.11 (MF) y 22.0.9 (NG).
La segunda falla también se puede mitigar aplicando restricciones de «Lista de permitidos» que se encuentran en Opciones > Avanzado > Seguridad > Direcciones IP permitidas del servidor del sitio, y solo permitiendo que las direcciones IP verificadas del servidor del sitio accedan a la red.
Aquellos interesados en verificar dos veces si sus sistemas se vieron comprometidos o no no tienen suerte, ya que PaperCut dice que es imposible determinar, con absoluta certeza, si un actor de amenazas violó la red. Los desarrolladores sugirieron que los equipos de TI busquen actividades sospechosas en la interfaz de administración de PaperCut en Registros > Registro de la aplicación, incluidas las actualizaciones de un usuario llamado [setup wizard]. También pueden buscar nuevos usuarios que se creen o que se cambien las claves de configuración.
Vía: BleepingComputer (se abre en una pestaña nueva)