La impresora de su oficina podría estar pirateando la red de la empresa

La impresora de su oficina podría estar pirateando la red corporativa, gracias a un software de gestión de impresión vulnerable, advierten los expertos en seguridad.

La empresa de software de gestión de impresión PaperCut ha publicado un aviso de seguridad que indica que existe evidencia de que los actores de amenazas están explotando activamente dos fallas para obtener acceso a puntos finales de servidores vulnerables.

La empresa recibió un aviso de los expertos en ciberseguridad Trend Micro a principios de enero de 2023, quienes llamaron su atención sobre ZDI-CAN-18987 y ZDI-CAN-19226. La primera es una falla de ejecución de código remoto no autenticado que se encuentra en PaperCut MF o NG, versiones 8.0 y posteriores, con una puntuación de gravedad de 9.8 (crítica), mientras que la segunda es una falla de divulgación de información no autenticada en PaperCut MF o NG, versiones 15.0 y más reciente, con una puntuación de gravedad de 8,2 (alta).

Más detalles en mayo

“A partir del 18 de abril de 2023, tenemos evidencia que sugiere que los servidores sin parches están siendo explotados en la naturaleza (específicamente ZDI-CAN-18987/PO-1216)”, dijo la compañía en el aviso. "Como precaución, no podemos revelar demasiado sobre estas vulnerabilidades". Se espera que se revelen más detalles el 10 de mayo, dijo la compañía, dando a las empresas mucho tiempo para proteger sus redes.

Sin embargo, existen correcciones y soluciones alternativas para las fallas, por lo que se recomienda a los usuarios que solucionen el problema de inmediato y minimicen cualquier riesgo potencial.

Los administradores del sistema deben asegurarse de que su software esté parcheado para las versiones 20.1.7, 21.2.11 (MF) y 22.0.9 (NG).

La segunda falla también se puede mitigar aplicando las restricciones de la "Lista permitida" que se encuentran en Opciones > Avanzado > Seguridad > Direcciones IP permitidas del servidor del sitio, y permitiendo que solo las direcciones IP verificadas del servidor del sitio accedan a la red.

Aquellos que quieran verificar si sus sistemas han sido comprometidos o no no tienen suerte, ya que PaperCut dice que es imposible determinar, con absoluta certeza, si un actor malicioso ha violado la red. Los desarrolladores sugirieron que los equipos de TI busquen actividades sospechosas en la interfaz de administración de PaperCut en Registros > Registro de la aplicación, incluidas las actualizaciones de un usuario llamado [setup wizard]. También pueden buscar nuevos usuarios que se creen o cambien las claves de configuración.

Vía: BleepingComputer (se abre en una nueva pestaña)