FBIとCISAは、PaperCut MFとNGの特定のバージョンに存在する脆弱性、CVE-2023-27350が悪用されていると共同で警告を発表しました。この脆弱性は、悪意のあるサイバー攻撃者が認証を経ずにリモートからコードを実行することを可能にします。CISOやITマネージャーは、この問題に対する認識を高め、適切な対策を講じることが求められています。

■なぜこのニュースは重要ですか？

　PaperCutの不具合は、CVE-2023-27350として追跡されており、100カ国以上、およそ7万の組織で使用されている印刷管理ソフトウェア、PaperCut MFおよびPaperCut NGに影響を与える重要度（Critical-Severity）のリモートコード実行（RCE）の弱点です。日本国内でも利用している企業が多数存在します。

　FBIの情報によると、2023年5月初旬、Bl00dy Ransomware Gangを自称するグループが、教育施設サブセクターに対して脆弱なPaperCutサーバを悪用しようと試みたとあります。

　一般的にセキュリティ対策が弱いとされている教育機関で多く採用されているシステムのため同セクターでのランサムウェア被害増加等への警戒が必要です。

■緩和策

　CISAとFBIは緩和策として以下を推奨しています。該当する組織は以下の緩和策を実行すると共に、原文の警告を参照し検出方法等も調査することを推奨します。

・PaperCut を最新バージョンにアップグレードします。

・すぐにパッチを適用できない場合は、脆弱な PaperCut サーバーにインターネット経由でアクセスできないことを確認し、次のいずれかのネットワーク制御を実装します。

　-　オプション 1: 外部制御: 外部 IP アドレスから Web 管理ポータル (デフォルトではポート 9191 および 9192) へのすべての受信トラフィックをブロックします。

　-　オプション 2: 内部および外部制御: Web 管理ポータルへのすべての受信トラフィックをブロックします。注: この手順の後、サーバーをリモートで管理することはできません。

・すべてのスタッフおよびすべてのサービスに対してフィッシング耐性のある多要素認証 (MFA)を義務付けるなど、実稼働環境およびエンタープライズ環境でのサイバーセキュリティのベスト プラクティスに従ってください。その他のベスト プラクティスについては、CISA の「Cross-Sector Cyber​​security Performance Goals (CPG)」を参照してください。CISA と米国標準技術研究所 (NIST) によって開発された CPG は、既知のサイバー リスクと一般的な TTP の可能性と影響を大幅に軽減できる IT および OT セキュリティ実践の優先サブセットです。CPG はベスト プラクティスのサブセットであるため、CISA と FBI はすべての組織に対し、NIST サイバーセキュリティ フレームワークなどの認知されたフレームワークに基づいた包括的な情報セキュリティ プログラムを導入することも推奨しています。(CSF)。