PaperCut NG/MF sous le feu : Pourquoi un bug de 2023 refait son entrée dans le catalogue CISA-KEV un an plus tard

8 min. de lecture · Date de mise en ligne : 23.04.2026

La CISA a rajouté PaperCut NG/MF via CVE-2023-27351 à son catalogue des vulnérabilités exploitées le 20 avril 2026. Une faille découverte au printemps 2023 est à nouveau active en 2026. Pour les équipes de sécurité dans les entreprises DACH, c’est moins une surprise qu’une évaluation de la situation : l’infrastructure de impression est considérée comme « terminée » et devient ainsi un point d’entrée potentiel. Celui qui ne lance pas un inventaire complet dans les prochaines heures court-circuite un incident que les utilisateurs percevront rapidement et que les CISOs découvriront tardivement.

Les points clés en bref

CVE-2023-27351 (PaperCut NG/MF) est dans le CISA-KEV-Katalog depuis le 20 avril 2026. Les autorités fédérales doivent se mettre à jour d’ici le début mai.
Cette faille permet l’évasion d’authentification et l’exécution de code arbitraire via le port de gestion Web 9191/9192.
Signalée en mars 2023, elle est à nouveau exploitée en avril 2026, car de nombreuses installations n’ont jamais été correctement mises à jour ou incorrectement sécurisées.
Toutes les versions antérieures à 20.1.7, 21.2.11 et 22.0.9 sont concernées. Les versions 23.x et 24.x actuelles sont protégées contre le vecteur initial.
Les équipes de sécurité doivent mener une inventaire complète sur toutes les instances PaperCut dans les 72 heures suivantes, accompagnée de règles WAF, de segmentation réseau et de requêtes de chasse dans le SIEM et l’EDR.

Pourquoi un bogue 2023 revient en 2026

Qu’est-ce que CVE-2023-27351 ? CVE-2023-27351 est une évasion d’authentification critique dans la console de gestion de PaperCut NG et MF, avec un score CVSS de 8,1. Un attaquant non authentifié peut contourner les utilisateurs ou les administrateurs via le port de gestion Web exposé par défaut et exécuter des scripts arbitraires sur le serveur. La cause réside dans une validation de session incorrecte dans un layer de scripting tiers utilisé pour l’automatisation des tâches de impression dans PaperCut.

Le bogue a été divulgué en mars 2023, et PaperCut a publié des correctifs dans le même mois. La CISA a ajouté la faille au KEV-Katalog en 2023. Pourquoi revient-elle ? Ce modèle n’est pas inhabituel. L’infrastructure d’impression n’est souvent pas considérée comme partie intégrante de la routine de mise à jour. De nombreuses installations ont été provisoirement corrigées en 2023, mais n’ont jamais été mises à jour vers les lignes de versions actuelles. Par ailleurs, des chaînes d’exploitation pour cette faille sont disponibles depuis plus d’un an, y compris des modules Metasploit et des modèles Nuclei. La fenêtre de re-exploitation reste ouverte tant que des instances non correctées sont en ligne.

La réactivation se place dans un contexte plus large. Le serveur d’impression n’est généralement pas un système isolé, mais est souvent intégré dans Active Directory avec des privilèges, ayant accès aux partages de fichiers, relais de courrier électronique et souvent à la base de données de configuration de l’imprimante de l’entreprise. Un serveur PaperCut compromis offre aux attaquants une plateforme pour des mouvements latéraux, la récupération de credentiels et le déploiement de rançongiciel. Un incident qui commence avec PaperCut ne s’arrête pas là.

8,1

Score CVSS pour CVE-2023-27351 : Évasion d’authentification avec suite de code arbitraire via le port de gestion PaperCut

Source : NVD, entrée KEV CISA du 20 avril 2026

Quelles versions sont concernées et quelles modifications ont été apportées

La matrice des correctifs est contrôlable, mais critique pour un inventaire net. Les versions concernées et activement exploitable sont toutes les instances avant PaperCut NG/MF 20.1.7, 21.2.11 et 22.0.9. Si vous êtes sur ces lignes de version, vous devez mettre à jour immédiatement. Les lignes de version 23.x et 24.x apportent le correctif initial depuis leur sortie, bien que avec des conditions. Si vous êtes sur 23.x, mais que vous n’avez pas désactivé l’engine de script par configuration, vérifiez si votre état des correctifs contient les correctifs de sécurité mentionnés. Si vous êtes sur 24.x, vous êtes dans la plupart des scénarios sûrs, mais vous devriez continuer à passer en revue la liste de vérification d’exposition.

Un modèle qui deviendra plus visible en 2026 est la combinaison d’une exposition Internet inconnue et d’une absence de hardening. Les instances PaperCut sont souvent croissantes dans les organisations, sans planification. Il existe des serveurs centraux dans le datacenter, ainsi que des instances développées sur des serveurs Windows au sein des départements. Les instances PaperCut en arrière-plan, dans les filiales ou les sites de production, évitent les vérifications classiques, car elles ne sont pas inscrites dans l’IT Asset Management. La probabilité qu’au moins une de ces instances soit accessible depuis Internet est de l’ordre du pourcentage double digit, selon les données de Shodan.

Le balayage d’inventaire de 72 heures pour les équipes de sécurité

La réponse à la reprise n’est pas un programme à blanc, mais un processus structuré de trois jours. Si vous travaillez de manière disciplinée, vous obtiendrez en 72 heures une clarté sur la surface d’attaque, l’état des correctifs et la couverture de détection.

Jour 1

Balayage d’inventaire. Toutes les instances PaperCut, quel que soit leur emplacement dans le siège social, les sites ou les filiales. Scan Nmap sur les ports 9191/9192, requêtes SIEM pour les agents utilisateurs PaperCut, interrogation de la base de données des actifs. Parallèlement : vérification externe via Shodan, Censys ou votre propre gestion de la surface d’attaque.

Jour 2

Vérification de l’état des correctifs. Mappez chaque instance trouvée sur la matrice des correctifs. Non seulement la ligne de version, mais aussi les numéros de build spécifiques. Pour les instances en arrière-plan : identifiez le propriétaire, vérifiez la légitimité, planifiez un correctif ou une mise hors service.

Matin du jour 3

Hardening et détection. Placez le port de gestion derrière un WAF inverse ou une liste d’adresses IP autorisées, ne laissez pas de direct exposure Internet. Activez des règles SIEM pour les événements de journalisation PaperCut spécifiques, lancez des chasses EDR pour des démarrages PowerShell suspects du contexte du processus PaperCut.

Après-midi du jour 3

Documentation et escalade. Inscrivez le statut dans le suivi de conformité, associez les instances non correctées à un responsable d’incident, intégrez les systèmes KRITIS ou NIS2 pertinent à la feuille de route d’incident. Une note de gestion courte sur les week-ends pour sécuriser.

Le balayage est consciencieusement resté petit. Si vous glissez dans une phase d’analyse plus longue, vous perdrez le temps contre les attaquants. Le playbook fonctionne si les opérations, la sécurité et la gestion des actifs travaillent ensemble sur un ticket, et non en attendant des domaines de compétence individuels.

Quoi faire de manière urgente

Mettez à jour toutes les instances PaperCut vers les lignes de version les plus récentes (24.x recommandé)
Placez le port de gestion derrière un WAF ou un bastion, ne laissez pas de direct exposure Internet
Désactivez l’engine de script si elle n’est pas activement utilisée pour l’automatisation
Complétez l’inventaire des actifs avec les serveurs d’impression en arrière-plan et définissez le propriétaire

Ce que les équipes de sécurité ne devraient pas faire

Ignorer le patch en le considérant comme trivial et le déléguer aux administrateurs d’impression sans réflexion
Laisser les anciennes installations en cours d’exécution « en cas d’urgence », si le patch génère des incompatibilités
Faire confiance aux notes de mise à jour produits sans vérifier la version du patch par numéro de build
Activer les règles WAF sans phase de test et bloquer par inadvertance le traitement des impressions

Comment l’événement s’inscrit dans la situation de la Q2 2026

Le scandale PaperCut ne tisse pas seul. Celui qui suit les mouvements de la CISA depuis le début d’avril 2026 remarque un schéma. Cisco Catalyst SD-WAN Manager, Apache ActiveMQ et F5 BIG-IP plus Citrix NetScaler ont été réactivés ou ajoutés en quelques temps. Le facteur commun n’est pas un tendance technique, mais un modèle opérationnel. Les produits d’entreprise qui sont installés et peu généralement mis à jour par des mises à jour, deviennent les cibles privilégiées des exploitateurs, car les exploits s’adaptent bien. Un groupe qui a une chaîne de PaperCut fonctionnelle peut trouver suffisamment de cibles via Shodan pour en profiter dans une semaine.

Pour les équipes de sécurité dans les secteurs régulés, la situation s’aggrave grâce à deux autres facteurs. Premièrement, NIS2 et le Règlement KRITIS accélèrent les obligations de signalement des incidents. Un système non mis à jour qui est bien connue pour être exploité et qui mène à un incident, aggrave la situation de preuve devant la BSI. Deuxièmement, les assureurs travaillent de plus en plus avec des questionnaires de conformité détaillés sur le patch. Celui qui ne peut pas documenter une histoire claire sur les mises à jour de PaperCut pour 2026 risque de se retrouver avec des questions incomfortables ou des exclusions plus sévères lors de la prochaine extension de la politique.

La quintessence est peu attirante, mais fondamentale. Les événements réactivés KEV ne sont pas une panique, mais un signal. Ils montrent quelles sont les catégories d’OS, de middleware et de logiciels spécialisés qui reçoivent en permanence peu d’attention en matière de mises à jour. PaperCut ne sera pas le dernier produit de 2023 à réapparaître en 2026. Les équipes de sécurité qui ne reflètent pas continuellement leur gestion des actifs par rapport aux mouvements KEV, se retrouveront avec la même leçon tous les six à neuf mois. Celui qui a établi la routine, traite les réactivations comme une tâche régulière, non comme un incident.

De l’avis de l’éditeur, il y a un point supplémentaire qui a une importance pratique pour les CISOs dans les organisations moyennes. Celui qui a besoin d’un narratif clair pour la prochaine réunion du conseil d’administration ou pour le rapport au conseil d’administration, peut trouver dans la réactivation KEV de la CISA une ligne de référence clairement documentée. Une phrase comme « nous avons effectué un inventaire complet 72 heures après la signalement de la CISA, vérifié toutes les instances et mis à jour les systèmes concernés dans le délai fédéral » fournit aux organes une réaction à suivre sans interprétation. La communication au conseil sur les sujets de sécurité souffre souvent de l’exagération ou de l’underestimation. La ligne KEV retire cela de la discussion et fournit une langue commune entre les opérations de sécurité, la conformité et la direction.

Quoi que les CISOs devraient préparer pour la prochaine réunion du conseil d’administration

Le cas PaperCut est une bonne occasion de renforcer la logique de tableau de bord de sécurité au conseil d’administration. Trois indicateurs devraient figurer dans chaque modèle de tableau de bord au début de chaque trimestre. Premièrement, un indicateur de niveau de correction pour les entrées KEV : le nombre de vulnérabilités KEV non corrigées dans l’organisation, classées par classe de risque. Deuxièmement, un indicateur d’exposition : quels sont les systèmes qui sont accessibles depuis l’Internet, sans WAF ou Bastion intermédiaire ? Troisièmement, un indicateur de détection : quels sont les systèmes qui possèdent des règles EDR ou SIEM actives pour détecter les chaînes d’exploitation courantes ?

Ce trois indicateurs sont robustes face aux fluctuations du marché. Ils se basent sur une source de référence externe et vérifiable. Ils sont communicables malgré leur complexité. Et ils permettent de mesurer les progrès ou la régression au fil des trimestres, sans avoir à discuter de chaque nouvelle CVE. De nombreux tableaux de bord de sécurité luttent avec cela : ils sont soit trop techniques, soit trop politiques. Une logique basée sur KEV se trouve en haut de ce schisme.

Pour la discussion au conseil d’administration, un court récit sur la culture de correction sera utile. Quelle est la durée entre une réactivation KEV par la CISA et un déploiement de correction réussi dans l’organisation ? Celui qui peut présenter cette durée en médiane et en 95e centile sur le dernier exercice a une base de discussion solide. Celui qui ne peut pas, recevra l’inconvénient de la question lors du prochain incident. Les questions viennent, mais le moment ne l’est jamais.

Un deuxième élément important est la perspective des fournisseurs. PaperCut est un exemple d’éditeur de logiciels moyen-étage avec une distribution mondiale. Dans le contexte de la discussion au conseil d’administration, il est judicieux de poser la question des autres fournisseurs de cette catégorie dans l’organisation et de comment le dialogue de correction se déroule avec eux. La transparence des fabricants sur les cycles de fin de support, les périodes de correction de sécurité et une communication fiable en cas d’incident est aujourd’hui un atout non négligeable pour tout fournisseur de logiciels stratégique. Les départements d’achat qui intègrent cela dans les contrats réduisent significativement le nombre de surprises futures.

La troisième préparation est plus douce, mais non moins importante. Les équipes de sécurité qui luttent quotidiennement contre la méconnaissance trouveront dans ces réactivations une opportunité de communication. Aucun CISO ne doit induire une panique lorsque la CISA a already named the situation. La communication interne change lorsque des autorités externes interviennent. Celui qui sait profiter de cet effet peut promouvoir une culture de correction dans l’organisation sans être considéré comme un frein. C’est pas une technique de rhétorique, mais une collaboration de l’équipe avec des rôles clairement définis entre sécurité, IT, Achats et direction.

Foire aux questions

Combien de temps ont les autorités fédérales pour corriger CVE-2023-27351 ?

La CISA a lié la réactivation à une deadline de correction au début de mai 2026. Les agences fédérales civiles aux États-Unis doivent être correctées d’ici là. Pour les entreprises allemandes, il n’y a pas de contrainte CISA stricte, mais la deadline sert de référence pratique pour les équipes de conformité, car elle est bien documentée et compte en cas d’urgence.

Quelles sont les différences entre CVE-2023-27351 et CVE-2023-27350 ?

CVE-2023-27350 était la vulnérabilité RCE originale dans PaperCut NG/MF, activement exploitée en mars 2023 et attribuée aux groupes de rançongiciels. CVE-2023-27351 est l’écarts d’authentification parallèle signalé dans le même intervalle et fait maintenant surface. Les deux vulnérabilités sont abordées par la même version de correction, mais les attaquants peuvent utiliser des mécanismes d’accès différents.

Quels sont les événements de journalisation que les équipes de sécurité devraient surveiller dans leur SIEM ?

Les échecs d’authentification au port de gestion PaperCut, les exécutions de scripts inattendus du contexte de compte de service PaperCut, les invocations inhabituelles de PowerShell ou cmd par le service d’impression, ainsi que les indicateurs de déplacement latéral comme les nouveaux comptes d’administrateur locaux ayant accès à PaperCut. De nombreux fournisseurs EDR ont mis à jour des packs de détection pour cela.

Est-ce suffisant de bloquer le port de gestion PaperCut par le pare-feu, plutôt que de le corriger ?

Non. La segmentation réseau est une partie importante, mais ne remplacera pas la correction. Celui qui ne fait qu’effectuer une segmentation aura toujours une composante vulnérable sur le réseau, qui pourrait servir de pont lors d’un incident interne ou si les stations de travail d’administrateur sont compromises. La défense en profondeur signifie correction plus segmentation plus détection.

Quelle est la position de PaperCut concernant la re-exploitation ?

PaperCut a identifié les lignes de version 23.x et 24.x comme les versions recommandées et a souligné clairement que la réactivation dans le catalogue KEV ne représente pas un nouveau bogue, mais une rappelation de la nécessité de passer à des versions plus récentes, car de nombreuses installations utilisent des versions obsolètes. Le fabricant fournit des guides de migration et des checklists de hardening.

Comment un conseil d’administration devrait-il évaluer la situation actuelle ?

Un conseil d’administration devrait utiliser la réactivation pour remettre en question la continuité des processus de correctif. La véritable information n’est pas la CVE individuelle, mais le modèle. Celui qui a des lacunes en 2023 qui restent ouvertes en 2026 a un blind spot dans la gestion des actifs et des correctifs, qui ne peut être comblé par un seul correctif. Cela devrait être abordé lors de la prochaine réunion du comité de risque, pas dans le journal de la journée des opérations de sécurité.