CISA Issues Alert on PaperCut RCE Vulnerability Under Active Exploitation
2025/07/29 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、印刷管理ソフトウェア PaperCut に存在する重大な脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。それぞれの連邦政府組織に対して、CISA が警告を発する背景にあるのは、この広く使用されているソフトウェアを標的とする、サイバー攻撃の活発化がある。この PaperCut の脆弱性 CVE-2023-2533 を悪用する攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を得るという。
重大な脆弱性の詳細
このクロスサイト・リクエスト・フォージェリ (CSRF) の脆弱性 CVE-2023-2533 は、PaperCut NG/PaperCut MF に影響を及ぼす。この問題は、CWE-352 に分類されており、システム・コンフィグの変更や不正アクセスの経路を、攻撃者に対して与えるものだ。
特に注目すべきは、この脆弱性が攻撃者に与えるものが、単なる CSRF の問題に留まらず、重要なセキュリティ・コンフィグを変更や、特定の条件下におけるリモート・コード実行 (RCE) に至る可能性である。
したがって、攻撃の影響範囲が大幅に拡大し、教育機関/医療機関/企業などに広く導入されている、PaperCut 環境全体に対する深刻なリスクが生じていると、企業のセキュリティ状況を監視するサイバー・セキュリティ専門家たちが懸念を示している。
実際の悪用と CISA の対応
2025年7月28日付で CISA が、この脆弱性 CVE-2023-2533 を KEV カタログに追加した事実は、すでに攻撃での悪用が確認されたことを意味する。この脆弱性とランサムウェア攻撃との関連性について、CISA は何も示していないが、ステータスが Unknown とされていることから、組織化されたサイバー犯罪グループの関与についても、調査が継続が継続されていると思われる。
このエクスプロイト指定は、PaperCut を運用する組織に対して、迅速な対応が不可欠であることを意味している。
CISA KEV カタログへの掲載は、実際の悪用が確認された脆弱性に限定されていることから、ユーザー組織のセキュリティ体制維持のためには、この脆弱性への対応が最優先されるべきだと、同庁は強調している。この CISA の指示により、連邦政府の各組織は、2025年8月18日までに対応を完了する必要がある。
CISA は、以下の対応を推奨している:
- ベンダーが提供するパッチや緩和策の適用
- 有効な緩和策が存在しない場合、該当製品の利用中止
- クラウドベースの PaperCut サービスを使用している場合には、運用指令 (BOD) 22-01 に基づくクラウド対応
このガイダンスが示すのは、脅威の深刻さと迅速な対応の必要性である。連邦政府機関は CISA の命令に従う義務があるが、民間企業においても同様の対応が推奨されている。
この3週間という修復猶予期間は、運用の継続性を損なうことなく、必要なパッチ・テストや保護措置を講じるには十分とされる。セキュリティ担当者は、自組織における PaperCut の導入状況を即座に把握し、脆弱性の露出状況を評価したうえで、ベンダーと連携して速やかに修正する必要がある。
印刷管理ソフトウェア PaperCut で発見された、CSRF の脆弱性 CVE-2023-2533 が CISA KEV リストにされました。同社のアドバイザリは、2023年6月のものですが、2025年7月にアップデートされています。何らかの悪用の事実が、最近になって判明したものと推測できます。ご利用のチームは、ご注意ください。よろしければ、PaperCut で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.