23. April 2026 | Artikel drucken |

PaperCut NG/MF unter aktivem Beschuss: Warum ein 2023er-Bug ein Jahr später wieder ins CISA-KEV rutscht

8 Min. Lesezeit · Stand: 23.04.2026

Die CISA hat am 20. April 2026 PaperCut NG/MF per CVE-2023-27351 zurück in ihren Known-Exploited-Vulnerabilities-Katalog aufgenommen. Eine Lücke aus dem Frühjahr 2023 wird Anfang 2026 wieder aktiv ausgenutzt. Für Security-Teams in DACH-Unternehmen ist das weniger eine Überraschung als eine Lagebewertung: Print-Infrastruktur gilt operativ als „erledigt“ und wird genau deshalb zum Einfallstor. Wer jetzt keinen Inventar-Sweep startet, läuft einem Incident hinterher, den Anwender früh spüren und CISOs spät mitbekommen.

Das Wichtigste in Kürze

  • CVE-2023-27351 (PaperCut NG/MF) steht seit 20. April 2026 wieder im CISA-KEV-Katalog. Bundesbehörden müssen bis Anfang Mai patchen.
  • Die Lücke erlaubt Authentifizierungsumgehung und das Ausführen beliebigen Codes über den Web-Management-Port 9191/9192.
  • Ursprünglich im März 2023 gemeldet, wird sie im April 2026 erneut aktiv ausgenutzt, weil viele Installationen nie gepatcht oder falsch gehärtet wurden.
  • Betroffen sind alle Versionen vor 20.1.7, 21.2.11 und 22.0.9. Aktuelle 23.x- und 24.x-Stände sind gegen den ursprünglichen Vektor abgesichert.
  • Security-Teams brauchen einen 72-Stunden-Inventar-Sweep auf allen PaperCut-Instanzen, ergänzt um WAF-Regeln, Network-Segmentation und Hunt-Queries in SIEM und EDR.

Warum ein 2023er-Bug 2026 zurück auf die Bühne kommt

Was ist CVE-2023-27351? CVE-2023-27351 ist eine kritische Authentifizierungsumgehung in der PaperCut-NG- und -MF-Management-Konsole, bewertet mit einem CVSS-Score von 8,1. Ein nicht authentifizierter Angreifer kann über den standardmäßig exponierten Web-Management-Port Benutzer oder Administratoren untergeschoben bekommen und beliebige Skripte auf dem Server ausführen. Die Ursache liegt in einer fehlerhaften Session-Validierung innerhalb eines Drittanbieter-Scripting-Layers, der in PaperCut für die Automatisierung von Druckaufträgen genutzt wird.

Der Bug ist im März 2023 öffentlich geworden, PaperCut hat im selben Monat Patches veröffentlicht. Die CISA nahm die Lücke bereits 2023 einmal in den KEV-Katalog auf. Warum kommt sie jetzt erneut? Das Muster ist nicht exotisch. Print-Infrastruktur zählt in vielen Organisationen nicht zum Kernbestand der Patch-Routine. Viele Installationen wurden 2023 provisorisch gehärtet, aber nie auf aktuelle Release-Linien gehoben. Zugleich sind Exploit-Chains für diese Lücke seit über einem Jahr öffentlich dokumentiert, inklusive Metasploit-Modulen und Nuclei-Templates. Das Re-Exploitation-Fenster bleibt offen, solange ungepatchte Instanzen im Netz stehen.

Die Reaktivierung geht in einen größeren Kontext. Der Druckserver ist selten ein einzelnes System, sondern meist privilegiert in Active Directory verankert, mit Zugriff auf Dateifreigaben, E-Mail-Relay und oft auf die Konfigurationsdatenbank des Unternehmensdruckers. Ein kompromittierter PaperCut-Server gibt Angreifern eine Bühne, von der aus Lateral Movement, Credential Harvesting und Ransomware-Deployment naheliegen. Ein Incident, der bei PaperCut startet, endet nicht dort.

8,1
CVSS-Score für CVE-2023-27351: Authentifizierungsumgehung mit RCE-Folge über den PaperCut-Management-Port
Quelle: NVD, CISA KEV-Eintrag vom 20. April 2026

Welche Versionen betroffen sind und was sich geändert hat

Die Patch-Matrix ist überschaubar, aber kritisch für einen sauberen Inventar-Sweep. Betroffen und aktiv ausnutzbar sind alle Stände vor PaperCut NG/MF 20.1.7, 21.2.11 und 22.0.9. Wer auf diesen Versionslinien steht, muss umgehend aktualisieren. Die Release-Linien 23.x und 24.x bringen den ursprünglichen Fix bereits seit Release, allerdings mit Bedingungen. Wer auf 23.x steht, aber die Scripting-Engine nicht per Konfiguration deaktiviert hat, sollte prüfen, ob sein Patchstand die referenzierten Hotfixes enthält. Wer auf 24.x läuft, ist in den meisten Szenarien sicher, sollte aber die Expose-Checkliste weiter durchgehen.

Ein Muster, das 2026 verstärkt sichtbar wird, ist die Kombination aus unbekannter Internet-Exponierung und fehlender Härtung. PaperCut-Instanzen sind in vielen Organisationen gewachsen, nicht geplant. Es gibt zentrale Server im Rechenzentrum, aber auch Abteilungsinstanzen auf Windows-Servern, die unter der Hand aufgebaut wurden. Shadow-PaperCut-Instanzen in Tochtergesellschaften oder Produktionsstandorten entziehen sich klassischen Scans, weil sie nicht im IT-Asset-Management stehen. Die Wahrscheinlichkeit, dass mindestens eine dieser Instanzen aus dem Internet erreichbar ist, liegt nach Erhebungen von Shodan-Daten im zweistelligen Prozentbereich.

Der 72-Stunden-Inventar-Sweep für Security-Teams

Die Antwort auf die Reaktivierung ist kein Blau-Licht-Programm, sondern ein strukturiertes Drei-Tage-Vorgehen. Wer diszipliniert arbeitet, hat in 72 Stunden Klarheit über Angriffsfläche, Patchstand und Detection-Abdeckung.

Tag 1
Inventar-Sweep. Alle PaperCut-Instanzen finden, quer durch Hauptsitz, Standorte und Tochtergesellschaften. Nmap-Scan auf Port 9191/9192, SIEM-Query nach PaperCut-User-Agents, Asset-Datenbank abfragen. Parallel: externe Sicht via Shodan, Censys oder eigenes Attack-Surface-Management prüfen.

Tag 2
Patchstand verifizieren. Jede gefundene Instanz gegen die Versionsmatrix mappen. Nicht nur Release-Linie, sondern konkrete Build-Nummer. Bei Shadow-Instanzen: Eigentümer identifizieren, Legitimität prüfen, Patch-Plan oder Abschaltung anordnen.

Tag 3 vormittags
Härtung und Detection. Management-Port hinter einen WAF-Reverse-Proxy oder eine IP-Allowlist legen, keine direkte Internet-Exposure. SIEM-Rules für PaperCut-spezifische Log-Events aktivieren, EDR-Hunt auf verdächtige PowerShell-Starts aus dem PaperCut-Prozesskontext laufen lassen.

Tag 3 nachmittags
Dokumentation und Eskalation. Status in Compliance-Tracking eintragen, unpatched-Instanzen mit Incident-Handler-Kontakt versehen, KRITIS- oder NIS2-relevante Systeme ins Incident-Playbook aufnehmen. Kurze Management-Notiz über Wochenende absichern.

Der Sweep ist bewusst klein gehalten. Wer damit in eine mehrwöchige Analyse-Phase rutscht, verliert das Zeitfenster gegenüber Angreifern. Das Playbook funktioniert, wenn Operations, Security und Asset-Management gemeinsam ein Ticket bearbeiten und nicht auf einzelne Fachgebiete warten.

Was jetzt zwingend passieren muss

  • Alle PaperCut-Instanzen auf aktuelle Release-Linien heben (24.x empfohlen)
  • Management-Port nicht im offenen Internet exponieren, WAF oder Bastion vorschalten
  • Scripting-Engine deaktivieren, falls sie nicht aktiv für Automatisierung gebraucht wird
  • Asset-Inventar um Shadow-Print-Server ergänzen und Ownership festlegen

Was Security-Teams jetzt nicht tun sollten

  • Den Patch als trivial abtun und an die Print-Admins delegieren ohne Rückkopplung
  • Ältere Installationen „für den Notfall“ laufen lassen, falls Patch Inkompatibilitäten erzeugt
  • Auf Produkt-Release-Notes vertrauen, ohne den Patchstand per Build-Nummer zu verifizieren
  • WAF-Regeln ohne Testphase aktivieren und den Druckbetrieb versehentlich blockieren

Wie sich der Vorfall in die Q2-Lage 2026 einfügt

Der PaperCut-Fall steht nicht allein. Wer die CISA-KEV-Bewegungen seit Anfang April 2026 verfolgt, sieht ein Muster. Cisco Catalyst SD-WAN Manager, Apache ActiveMQ und F5 BIG-IP plus Citrix NetScaler sind in kurzer Abfolge reaktiviert oder neu aufgenommen worden. Der gemeinsame Nenner ist kein technischer Trend, sondern ein Betriebsmuster. Enterprise-Produkte, die einmal eingeführt und danach stiefmütterlich gepatcht werden, geraten in den Fokus von Exploit-Brokern, weil Exploits gut skalieren. Eine Gruppe, die eine funktionierende PaperCut-Chain hat, findet über Shodan genug Ziele, um sie in einer Woche wirtschaftlich zu verwerten.

Für Security-Teams in regulierten Branchen verschärft sich die Lage durch zwei weitere Faktoren. Erstens beschleunigen NIS2 und KRITIS-Dachgesetz die Meldepflichten bei Incidents. Ein nicht gepatchtes System, das bekanntermaßen aktiv ausgenutzt wird und zu einem Incident führt, verschärft die Nachweislage gegenüber der BSI-Meldestelle. Zweitens arbeiten Versicherer zunehmend mit granularen Patchstand-Fragebögen. Wer 2026 keine schlüssige Historie zu PaperCut-Patches dokumentieren kann, riskiert bei der nächsten Policy-Verlängerung unangenehme Fragen oder schärfere Exklusionen.

Die Quintessenz ist unsexy, aber tragend. Reaktivierte KEV-Einträge sind keine Panik, sondern ein Signal. Sie zeigen, welche Kategorien von Betriebssystemen, Middleware und Fach-Software dauerhaft zu wenig Patch-Aufmerksamkeit bekommen. PaperCut wird nicht der letzte 2023er-Eintrag sein, der 2026 erneut die Runde macht. Security-Teams, die ihr Asset-Management nicht kontinuierlich gegen die KEV-Bewegung spiegeln, holen sich alle sechs bis neun Monate dieselbe Lektion. Wer die Routine einmal etabliert hat, behandelt Reaktivierungen als Regelarbeit, nicht als Incident.

Aus Herausgebersicht kommt ein Punkt hinzu, der für CISOs in mittelständischen Organisationen praktische Bedeutung hat. Wer für die nächste Vorstandssitzung oder für den Bericht an den Aufsichtsrat ein klares Lage-Narrativ braucht, findet in der CISA-KEV-Reaktivierung eine sauber dokumentierte Referenzlinie. Ein Satz wie „wir haben 72 Stunden nach der CISA-Meldung einen vollständigen Inventar-Sweep durchgeführt, alle Instanzen verifiziert und die betroffenen Systeme innerhalb der Federal-Deadline aktualisiert“ liefert Gremien eine nachvollziehbare Reaktion ohne Interpretationsspielraum. Vorstandskommunikation zu Security-Themen leidet häufig an Übertreibung oder an Untertreibung. Die KEV-Linie nimmt beides aus der Diskussion und liefert eine gemeinsame Sprache zwischen Security-Operations, Compliance und Geschäftsführung.

Was CISOs für die nächste Board-Sitzung vorbereiten sollten

Der PaperCut-Fall ist ein guter Anlass, die Security-Dashboard-Logik im Vorstand zu schärfen. Drei Elemente sollten in jeder Board-Vorlage zu Quartalsbeginn stehen. Erstens ein Patchstand-Indikator für KEV-Einträge: Anzahl offener, bestätigter KEV-Vulnerabilities im Haus, aufgeschlüsselt nach Risikoklasse. Zweitens ein Exposure-Indikator: Welche dieser Systeme sind aus dem Internet erreichbar, ohne WAF oder Bastion dazwischen? Drittens ein Detection-Indikator: Welche dieser Systeme haben aktive EDR- oder SIEM-Regeln, die gängige Exploit-Chains erkennen?

Diese drei Indikatoren sind robust gegen Trend-Fluktuation. Sie beziehen sich auf eine externe, nachvollziehbare Referenzquelle. Sie sind trotz Komplexität kommunizierbar. Und sie erlauben es, Fortschritt oder Regression über Quartale zu messen, ohne bei jeder neuen CVE neu zu diskutieren. Viele Security-Dashboards ringen genau damit: sie sind entweder zu technisch oder zu politisch. Eine KEV-basierte Logik landet dazwischen.

Für die Aufsichtsrats-Diskussion hilft zusätzlich ein kurzes Narrativ zur Patch-Kultur. Wie lange dauert es zwischen einer CISA-KEV-Reaktivierung und einem abgeschlossenen Patch-Deployment im Haus? Wer diese Zahl als Median und als 95-Perzentil über das letzte Jahr vorlegen kann, hat eine Diskussionsbasis. Wer sie nicht hat, bekommt beim nächsten Incident die unangenehme Variante der Nachfrage. Die Fragen kommen verlässlich, der Zeitpunkt nicht.

Ein zweiter Baustein ist die Lieferanten-Perspektive. PaperCut ist ein Beispiel für einen Mittelstands-Softwarehersteller mit weltweiter Verbreitung. Im Vorstandsgespräch lohnt die Frage, welche weiteren Anbieter dieser Kategorie im Haus laufen und wie der Patch-Dialog mit ihnen funktioniert. Hersteller-Transparenz über End-of-Support-Zyklen, Security-Patch-Fenster und verlässliche Incident-Kommunikation ist heute kein Luxus-Feature mehr, sondern eine harte Einkaufsanforderung für jeden strategischen Software-Lieferanten. Einkaufsabteilungen, die das in Rahmenverträge aufnehmen, reduzieren die Anzahl künftiger Überraschungen spürbar.

Die dritte Vorbereitung ist weicher, aber nicht weniger wichtig. Security-Teams, die im Alltag gegen Unverständnis kämpfen, finden in solchen Reaktivierungen eine kommunikative Chance. Kein CISO muss Panik schüren, wenn die CISA die Lage bereits benannt hat. Die Kommunikation nach innen verändert sich, wenn externe Autoritäten das Thema einordnen. Wer diesen Effekt nutzt, kann Patch-Kultur in der Organisation voranbringen, ohne als Bremser zu gelten. Das ist kein Rhetorik-Trick, sondern Teamarbeit mit klar verteilten Rollen zwischen Security, IT-Betrieb, Einkauf und Geschäftsleitung.

Häufige Fragen

Wie lange haben Bundesbehörden Zeit, CVE-2023-27351 zu schließen?

Die CISA hat die Reaktivierung mit einer Patch-Deadline Anfang Mai 2026 verknüpft. Federal Civilian Executive Branch Agencies in den USA müssen bis dahin patchen. Für deutsche Unternehmen gibt es keine harte CISA-Pflicht, die Deadline fungiert aber als sinnvolle Orientierung für Compliance-Teams, weil sie sauber dokumentiert ist und im Ernstfall als Referenz zählt.

Was unterscheidet CVE-2023-27351 von CVE-2023-27350?

CVE-2023-27350 war die ursprüngliche RCE-Lücke in PaperCut NG/MF, die im März 2023 aktiv ausgenutzt wurde und Ransomware-Gruppen zugeschrieben wurde. CVE-2023-27351 ist die parallele Authentifizierungsumgehung, die im selben Zeitraum gemeldet wurde und jetzt erneut in den Fokus rückt. Beide Lücken sind mit demselben Patchstand adressiert, Angreifer können aber unterschiedliche Zugänge nutzen.

Welche Log-Events sollten Security-Teams in ihrem SIEM überwachen?

Fehlgeschlagene Anmeldeversuche am PaperCut-Management-Port, unerwartete Skript-Ausführungen aus dem PaperCut-Dienstkontext, ungewöhnliche PowerShell- oder cmd-Invocations durch den Druckdienst sowie Lateral-Movement-Signale wie neue lokale Admin-Accounts nach PaperCut-Zugriff. Viele EDR-Hersteller haben dafür Detection-Packs aktualisiert.

Reicht es, den Management-Port per Firewall zu blockieren, statt zu patchen?

Nein. Netzwerk-Segmentierung ist eine wichtige Ergänzung, ersetzt aber den Patch nicht. Wer nur segmentiert, hat weiterhin eine verwundbare Komponente im Netz, die bei einem internen Incident oder bei kompromittierten Admin-Workstations als Sprungbrett dient. Defense-in-Depth bedeutet Patch plus Segmentation plus Detection.

Was sagt der PaperCut-Hersteller zur Re-Exploitation?

PaperCut hat die Release-Linien 23.x und 24.x als empfohlene Stände ausgewiesen und ausdrücklich darauf hingewiesen, dass die Reaktivierung im KEV-Katalog kein neuer Bug ist, sondern eine Mahnung, dass zu viele Installationen veraltete Stände fahren. Der Hersteller stellt Migrations-Guides und Härtungs-Checklisten bereit.

Wie sollte ein Board die aktuelle Lage bewerten?

Ein Vorstand sollte die Reaktivierung nutzen, um die Kontinuität der Patch-Prozesse zu hinterfragen. Die eigentliche Nachricht ist nicht die einzelne CVE, sondern das Muster. Wer 2023er-Lücken 2026 noch offen hat, hat einen Blindspot im Asset- und Patch-Management, den kein einzelner Fix schließt. Das gehört in die nächste Risk-Committee-Sitzung, nicht ins Security-Operations-Tagesprotokoll.

Lesetipps der Redaktion

Cisco Catalyst SD-WAN Manager: Drei CVEs unter Beschuss, CISA-Deadline 23. April

Apache ActiveMQ unter aktivem Beschuss: Lessons aus den 6.364 offenen Instanzen

BSI warnt zu F5 BIG-IP, Citrix NetScaler und Trivy: April 2026

Mehr aus dem MBF Media Netzwerk

Cloudmagazin: AWS und Google Cloud Multicloud-Interconnect GA

MyBusinessFuture: EU AI Act seit 6. April, Deadlines bis August

Digital Chiefs: IT-Resilienz 2026, DORA-NIS2-ISO-22301-Framework

Quelle Titelbild: Pexels / Mikhail Nilov (px:9301887)

Artikel drucken
Tobias Massow

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor

Ein Magazin der Evernine Media GmbH