أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الاثنين ثغرة أمنية شديدة الخطورة في برنامج إدارة الطباعة PaperCut NG/MF ضمن كتالوج الثغرات المعروفة التي يتم استغلالها (KEV)، وذلك استنادًا إلى أدلة تؤكد وجود استغلال نشط لها على أرض الواقع.
الثغرة، التي تحمل المعرف CVE-2023-2533 وتُقيّم بدرجة خطورة 8.4 وفقًا لمقياس CVSS، هي من نوع “تزوير طلب عبر المواقع” (CSRF)، ويمكن أن تؤدي إلى تنفيذ تعليمات برمجية عن بُعد.
وذكرت CISA في تنبيه أمني أن “برنامج PaperCut NG/MF يحتوي على ثغرة CSRF، والتي قد تمكّن المهاجم، في ظل ظروف محددة، من تعديل إعدادات الأمان أو تنفيذ تعليمات برمجية عشوائية.”
خطر واسع النطاق على البيئات الداخلية
يُستخدم برنامج PaperCut NG/MF على نطاق واسع في المدارس والشركات والمصالح الحكومية لإدارة عمليات الطباعة والتحكم في الطابعات الشبكية. ونظرًا لأن وحدة التحكم الإدارية عادةً ما تعمل على خوادم ويب داخلية، فإن استغلال هذه الثغرة قد يمنح المهاجمين نقطة انطلاق سهلة نحو اختراق أوسع للنظام إذا لم يتم الانتباه إليها.
في سيناريو هجوم محتمل، يمكن لجهة تهديد استغلال الثغرة لاستهداف مستخدم إداري لديه جلسة تسجيل دخول نشطة، وخداعه للنقر على رابط معد خصيصًا يؤدي إلى تغييرات غير مصرح بها.
جهات تهديد بارزة استغلت ثغرات سابقة
حتى الآن، لا يُعرف على وجه الدقة كيفية استغلال هذه الثغرة في الهجمات الواقعية. ومع ذلك، وبالنظر إلى أن ثغرات سابقة في هذا البرنامج استُغلت من قبل جهات تهديد مدعومة من إيران، فضلًا عن مجموعات جريمة إلكترونية مثل Bl00dy وCl0p وLockBit، فإن من الضروري أن يقوم المستخدمون بتطبيق التحديثات الأمنية فورًا إذا لم يكونوا قد فعلوا ذلك بعد.
لا يتوفر في الوقت الحالي أي نموذج عام لإثبات المفهوم (PoC)، لكن يمكن للمهاجمين استغلال الثغرة عبر رسائل تصيّد إلكتروني أو مواقع خبيثة تخدع المسؤول الإداري لتفعيل الطلب الضار. وتجدر الإشارة إلى أن إجراءات التخفيف لا تقتصر على التحديث فقط، بل تشمل أيضًا مراجعة إعدادات انتهاء صلاحية الجلسات، وتقييد الوصول الإداري لعناوين IP معروفة، وتفعيل التحقق الصارم من رموز CSRF.
إلزام الوكالات الفيدرالية بتحديث النظام قبل 18 أغسطس
بموجب التوجيه التشغيلي الملزم (BOD) 22-01، يُطلب من الوكالات التنفيذية المدنية الفيدرالية (FCEB) تحديث نسخها إلى إصدار مصحّح قبل تاريخ 18 أغسطس 2025.
كما يُنصح المسؤولون بمراجعة تقنيات MITRE ATT&CK مثل T1190 (استغلال التطبيقات المواجهة للجمهور) وT1071 (بروتوكول طبقة التطبيقات) لمواءمة قواعد الاكتشاف والتحليل. ولمزيد من الفهم الاستراتيجي، فإن تتبع حوادث PaperCut المرتبطة بنقاط الدخول لهجمات الفدية أو نواقل الوصول الأولي يمكن أن يسهم في بناء استراتيجيات تحصين طويلة الأمد.
