8 min. de lecture \u00b7 Date de mise en ligne : 23.04.2026<\/p>\n
La CISA a rajout\u00e9 PaperCut NG\/MF via CVE-2023-27351 \u00e0 son catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es le 20 avril 2026. Une faille d\u00e9couverte au printemps 2023 est \u00e0 nouveau active en 2026. Pour les \u00e9quipes de s\u00e9curit\u00e9 dans les entreprises DACH, c’est moins une surprise qu’une \u00e9valuation de la situation : l’infrastructure de impression est consid\u00e9r\u00e9e comme \u00ab\u00a0termin\u00e9e\u00a0\u00bb et devient ainsi un point d’entr\u00e9e potentiel. Celui qui ne lance pas un inventaire complet dans les prochaines heures court-circuite un incident que les utilisateurs percevront rapidement et que les CISOs d\u00e9couvriront tardivement.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n Qu’est-ce que CVE-2023-27351 ?<\/strong> CVE-2023-27351 est une \u00e9vasion d’authentification critique dans la console de gestion de PaperCut NG et MF, avec un score CVSS de 8,1. Un attaquant non authentifi\u00e9 peut contourner les utilisateurs ou les administrateurs via le port de gestion Web expos\u00e9 par d\u00e9faut et ex\u00e9cuter des scripts arbitraires sur le serveur. La cause r\u00e9side dans une validation de session incorrecte dans un layer de scripting tiers utilis\u00e9 pour l’automatisation des t\u00e2ches de impression dans PaperCut.<\/p>\n Le bogue a \u00e9t\u00e9 divulgu\u00e9 en mars 2023, et PaperCut a publi\u00e9 des correctifs dans le m\u00eame mois. La CISA a ajout\u00e9 la faille au KEV-Katalog en 2023. Pourquoi revient-elle ? Ce mod\u00e8le n’est pas inhabituel. L’infrastructure d’impression n’est souvent pas consid\u00e9r\u00e9e comme partie int\u00e9grante de la routine de mise \u00e0 jour. De nombreuses installations ont \u00e9t\u00e9 provisoirement corrig\u00e9es en 2023, mais n’ont jamais \u00e9t\u00e9 mises \u00e0 jour vers les lignes de versions actuelles. Par ailleurs, des cha\u00eenes d’exploitation pour cette faille sont disponibles depuis plus d’un an, y compris des modules Metasploit et des mod\u00e8les Nuclei. La fen\u00eatre de re-exploitation reste ouverte tant que des instances non correct\u00e9es sont en ligne.<\/p>\n La r\u00e9activation se place dans un contexte plus large. Le serveur d’impression n’est g\u00e9n\u00e9ralement pas un syst\u00e8me isol\u00e9, mais est souvent int\u00e9gr\u00e9 dans Active Directory avec des privil\u00e8ges, ayant acc\u00e8s aux partages de fichiers, relais de courrier \u00e9lectronique et souvent \u00e0 la base de donn\u00e9es de configuration de l’imprimante de l’entreprise. Un serveur PaperCut compromis offre aux attaquants une plateforme pour des mouvements lat\u00e9raux, la r\u00e9cup\u00e9ration de credentiels et le d\u00e9ploiement de ran\u00e7ongiciel. Un incident qui commence avec PaperCut ne s’arr\u00eate pas l\u00e0.<\/p>\n La matrice des correctifs est contr\u00f4lable, mais critique pour un inventaire net. Les versions concern\u00e9es et activement exploitable sont toutes les instances avant PaperCut NG\/MF 20.1.7, 21.2.11 et 22.0.9. Si vous \u00eates sur ces lignes de version, vous devez mettre \u00e0 jour imm\u00e9diatement. Les lignes de version 23.x et 24.x apportent le correctif initial depuis leur sortie, bien que avec des conditions. Si vous \u00eates sur 23.x, mais que vous n’avez pas d\u00e9sactiv\u00e9 l’engine de script par configuration, v\u00e9rifiez si votre \u00e9tat des correctifs contient les correctifs de s\u00e9curit\u00e9 mentionn\u00e9s. Si vous \u00eates sur 24.x, vous \u00eates dans la plupart des sc\u00e9narios s\u00fbrs, mais vous devriez continuer \u00e0 passer en revue la liste de v\u00e9rification d’exposition.<\/p>\n Un mod\u00e8le qui deviendra plus visible en 2026 est la combinaison d’une exposition Internet inconnue et d’une absence de hardening. Les instances PaperCut sont souvent croissantes dans les organisations, sans planification. Il existe des serveurs centraux dans le datacenter, ainsi que des instances d\u00e9velopp\u00e9es sur des serveurs Windows au sein des d\u00e9partements. Les instances PaperCut en arri\u00e8re-plan, dans les filiales ou les sites de production, \u00e9vitent les v\u00e9rifications classiques, car elles ne sont pas inscrites dans l’IT Asset Management. La probabilit\u00e9 qu’au moins une de ces instances soit accessible depuis Internet est de l’ordre du pourcentage double digit, selon les donn\u00e9es de Shodan.<\/p>\n La r\u00e9ponse \u00e0 la reprise n’est pas un programme \u00e0 blanc, mais un processus structur\u00e9 de trois jours. Si vous travaillez de mani\u00e8re disciplin\u00e9e, vous obtiendrez en 72 heures une clart\u00e9 sur la surface d’attaque, l’\u00e9tat des correctifs et la couverture de d\u00e9tection.<\/p>\n Le balayage est consciencieusement rest\u00e9 petit. Si vous glissez dans une phase d’analyse plus longue, vous perdrez le temps contre les attaquants. Le playbook fonctionne si les op\u00e9rations, la s\u00e9curit\u00e9 et la gestion des actifs travaillent ensemble sur un ticket, et non en attendant des domaines de comp\u00e9tence individuels.<\/p>\n Le scandale PaperCut ne tisse pas seul. Celui qui suit les mouvements de la CISA depuis le d\u00e9but d’avril 2026 remarque un sch\u00e9ma. Cisco Catalyst SD-WAN Manager<\/a>, Apache ActiveMQ<\/a> et F5 BIG-IP plus Citrix NetScaler<\/a> ont \u00e9t\u00e9 r\u00e9activ\u00e9s ou ajout\u00e9s en quelques temps. Le facteur commun n’est pas un tendance technique, mais un mod\u00e8le op\u00e9rationnel. Les produits d’entreprise qui sont install\u00e9s et peu g\u00e9n\u00e9ralement mis \u00e0 jour par des mises \u00e0 jour, deviennent les cibles privil\u00e9gi\u00e9es des exploitateurs, car les exploits s’adaptent bien. Un groupe qui a une cha\u00eene de PaperCut fonctionnelle peut trouver suffisamment de cibles via Shodan pour en profiter dans une semaine.<\/p>\n Pour les \u00e9quipes de s\u00e9curit\u00e9 dans les secteurs r\u00e9gul\u00e9s, la situation s’aggrave gr\u00e2ce \u00e0 deux autres facteurs. Premi\u00e8rement, NIS2 et le R\u00e8glement KRITIS acc\u00e9l\u00e8rent les obligations de signalement des incidents. Un syst\u00e8me non mis \u00e0 jour qui est bien connue pour \u00eatre exploit\u00e9 et qui m\u00e8ne \u00e0 un incident, aggrave la situation de preuve devant la BSI. Deuxi\u00e8mement, les assureurs travaillent de plus en plus avec des questionnaires de conformit\u00e9 d\u00e9taill\u00e9s sur le patch. Celui qui ne peut pas documenter une histoire claire sur les mises \u00e0 jour de PaperCut pour 2026 risque de se retrouver avec des questions incomfortables ou des exclusions plus s\u00e9v\u00e8res lors de la prochaine extension de la politique.<\/p>\n La quintessence est peu attirante, mais fondamentale. Les \u00e9v\u00e9nements r\u00e9activ\u00e9s KEV ne sont pas une panique, mais un signal. Ils montrent quelles sont les cat\u00e9gories d’OS, de middleware et de logiciels sp\u00e9cialis\u00e9s qui re\u00e7oivent en permanence peu d’attention en mati\u00e8re de mises \u00e0 jour. PaperCut ne sera pas le dernier produit de 2023 \u00e0 r\u00e9appara\u00eetre en 2026. Les \u00e9quipes de s\u00e9curit\u00e9 qui ne refl\u00e8tent pas continuellement leur gestion des actifs par rapport aux mouvements KEV, se retrouveront avec la m\u00eame le\u00e7on tous les six \u00e0 neuf mois. Celui qui a \u00e9tabli la routine, traite les r\u00e9activations comme une t\u00e2che r\u00e9guli\u00e8re, non comme un incident.<\/p>\n De l’avis de l’\u00e9diteur, il y a un point suppl\u00e9mentaire qui a une importance pratique pour les CISOs dans les organisations moyennes. Celui qui a besoin d’un narratif clair pour la prochaine r\u00e9union du conseil d’administration ou pour le rapport au conseil d’administration, peut trouver dans la r\u00e9activation KEV de la CISA une ligne de r\u00e9f\u00e9rence clairement document\u00e9e. Une phrase comme \u00ab\u00a0nous avons effectu\u00e9 un inventaire complet 72 heures apr\u00e8s la signalement de la CISA, v\u00e9rifi\u00e9 toutes les instances et mis \u00e0 jour les syst\u00e8mes concern\u00e9s dans le d\u00e9lai f\u00e9d\u00e9ral\u00a0\u00bb fournit aux organes une r\u00e9action \u00e0 suivre sans interpr\u00e9tation. La communication au conseil sur les sujets de s\u00e9curit\u00e9 souffre souvent de l’exag\u00e9ration ou de l’underestimation. La ligne KEV retire cela de la discussion et fournit une langue commune entre les op\u00e9rations de s\u00e9curit\u00e9, la conformit\u00e9 et la direction.<\/p>\n Le cas PaperCut est une bonne occasion de renforcer la logique de tableau de bord de s\u00e9curit\u00e9 au conseil d’administration. Trois indicateurs devraient figurer dans chaque mod\u00e8le de tableau de bord au d\u00e9but de chaque trimestre. Premi\u00e8rement, un indicateur de niveau de correction pour les entr\u00e9es KEV : le nombre de vuln\u00e9rabilit\u00e9s KEV non corrig\u00e9es dans l’organisation, class\u00e9es par classe de risque. Deuxi\u00e8mement, un indicateur d’exposition : quels sont les syst\u00e8mes qui sont accessibles depuis l’Internet, sans WAF ou Bastion interm\u00e9diaire ? Troisi\u00e8mement, un indicateur de d\u00e9tection : quels sont les syst\u00e8mes qui poss\u00e8dent des r\u00e8gles EDR ou SIEM actives pour d\u00e9tecter les cha\u00eenes d’exploitation courantes ?<\/p>\n Ce trois indicateurs sont robustes face aux fluctuations du march\u00e9. Ils se basent sur une source de r\u00e9f\u00e9rence externe et v\u00e9rifiable. Ils sont communicables malgr\u00e9 leur complexit\u00e9. Et ils permettent de mesurer les progr\u00e8s ou la r\u00e9gression au fil des trimestres, sans avoir \u00e0 discuter de chaque nouvelle CVE. De nombreux tableaux de bord de s\u00e9curit\u00e9 luttent avec cela : ils sont soit trop techniques, soit trop politiques. Une logique bas\u00e9e sur KEV se trouve en haut de ce schisme.<\/p>\n Pour la discussion au conseil d’administration, un court r\u00e9cit sur la culture de correction sera utile. Quelle est la dur\u00e9e entre une r\u00e9activation KEV par la CISA et un d\u00e9ploiement de correction r\u00e9ussi dans l’organisation ? Celui qui peut pr\u00e9senter cette dur\u00e9e en m\u00e9diane et en 95e centile sur le dernier exercice a une base de discussion solide. Celui qui ne peut pas, recevra l’inconv\u00e9nient de la question lors du prochain incident. Les questions viennent, mais le moment ne l’est jamais.<\/p>\n Un deuxi\u00e8me \u00e9l\u00e9ment important est la perspective des fournisseurs. PaperCut est un exemple d’\u00e9diteur de logiciels moyen-\u00e9tage avec une distribution mondiale. Dans le contexte de la discussion au conseil d’administration, il est judicieux de poser la question des autres fournisseurs de cette cat\u00e9gorie dans l’organisation et de comment le dialogue de correction se d\u00e9roule avec eux. La transparence des fabricants sur les cycles de fin de support, les p\u00e9riodes de correction de s\u00e9curit\u00e9 et une communication fiable en cas d’incident est aujourd’hui un atout non n\u00e9gligeable pour tout fournisseur de logiciels strat\u00e9gique. Les d\u00e9partements d’achat qui int\u00e8grent cela dans les contrats r\u00e9duisent significativement le nombre de surprises futures.<\/p>\n La troisi\u00e8me pr\u00e9paration est plus douce, mais non moins importante. Les \u00e9quipes de s\u00e9curit\u00e9 qui luttent quotidiennement contre la m\u00e9connaissance trouveront dans ces r\u00e9activations une opportunit\u00e9 de communication. Aucun CISO ne doit induire une panique lorsque la CISA a already named the situation. La communication interne change lorsque des autorit\u00e9s externes interviennent. Celui qui sait profiter de cet effet peut promouvoir une culture de correction dans l’organisation sans \u00eatre consid\u00e9r\u00e9 comme un frein. C’est pas une technique de rh\u00e9torique, mais une collaboration de l’\u00e9quipe avec des r\u00f4les clairement d\u00e9finis entre s\u00e9curit\u00e9, IT, Achats et direction.<\/p>\n La CISA a li\u00e9 la r\u00e9activation \u00e0 une deadline de correction au d\u00e9but de mai 2026. Les agences f\u00e9d\u00e9rales civiles aux \u00c9tats-Unis doivent \u00eatre correct\u00e9es d’ici l\u00e0. Pour les entreprises allemandes, il n’y a pas de contrainte CISA stricte, mais la deadline sert de r\u00e9f\u00e9rence pratique pour les \u00e9quipes de conformit\u00e9, car elle est bien document\u00e9e et compte en cas d’urgence.<\/p>\n CVE-2023-27350 \u00e9tait la vuln\u00e9rabilit\u00e9 RCE originale dans PaperCut NG\/MF, activement exploit\u00e9e en mars 2023 et attribu\u00e9e aux groupes de ran\u00e7ongiciels. CVE-2023-27351 est l’\u00e9carts d’authentification parall\u00e8le signal\u00e9 dans le m\u00eame intervalle et fait maintenant surface. Les deux vuln\u00e9rabilit\u00e9s sont abord\u00e9es par la m\u00eame version de correction, mais les attaquants peuvent utiliser des m\u00e9canismes d’acc\u00e8s diff\u00e9rents.<\/p>\n Les \u00e9checs d’authentification au port de gestion PaperCut, les ex\u00e9cutions de scripts inattendus du contexte de compte de service PaperCut, les invocations inhabituelles de PowerShell ou cmd par le service d’impression, ainsi que les indicateurs de d\u00e9placement lat\u00e9ral comme les nouveaux comptes d’administrateur locaux ayant acc\u00e8s \u00e0 PaperCut. De nombreux fournisseurs EDR ont mis \u00e0 jour des packs de d\u00e9tection pour cela.<\/p>\n Non. La segmentation r\u00e9seau est une partie importante, mais ne remplacera pas la correction. Celui qui ne fait qu’effectuer une segmentation aura toujours une composante vuln\u00e9rable sur le r\u00e9seau, qui pourrait servir de pont lors d’un incident interne ou si les stations de travail d’administrateur sont compromises. La d\u00e9fense en profondeur signifie correction plus segmentation plus d\u00e9tection.<\/p>\n PaperCut a identifi\u00e9 les lignes de version 23.x et 24.x comme les versions recommand\u00e9es et a soulign\u00e9 clairement que la r\u00e9activation dans le catalogue KEV ne repr\u00e9sente pas un nouveau bogue, mais une rappelation de la n\u00e9cessit\u00e9 de passer \u00e0 des versions plus r\u00e9centes, car de nombreuses installations utilisent des versions obsol\u00e8tes. Le fabricant fournit des guides de migration et des checklists de hardening.<\/p>\n Un conseil d’administration devrait utiliser la r\u00e9activation pour remettre en question la continuit\u00e9 des processus de correctif. La v\u00e9ritable information n’est pas la CVE individuelle, mais le mod\u00e8le. Celui qui a des lacunes en 2023 qui restent ouvertes en 2026 a un blind spot dans la gestion des actifs et des correctifs, qui ne peut \u00eatre combl\u00e9 par un seul correctif. Cela devrait \u00eatre abord\u00e9 lors de la prochaine r\u00e9union du comit\u00e9 de risque, pas dans le journal de la journ\u00e9e des op\u00e9rations de s\u00e9curit\u00e9.<\/p>\n Cisco Catalyst SD-WAN Manager: Trois CVEs sous attaque, deadline CISA le 23 avril<\/a><\/p>\n Apache ActiveMQ sous attaque active : Lessons de 6 364 instances ouvertes<\/a><\/p>\n BSI met en garde sur F5 BIG-IP, Citrix NetScaler et Trivy : Avril 2026<\/a><\/p>\n<\/div>\n\n
Pourquoi un bogue 2023 revient en 2026<\/h2>\n
Quelles versions sont concern\u00e9es et quelles modifications ont \u00e9t\u00e9 apport\u00e9es<\/h2>\n
Le balayage d’inventaire de 72 heures pour les \u00e9quipes de s\u00e9curit\u00e9<\/h2>\n
Quoi faire de mani\u00e8re urgente<\/h3>\n
\n
Ce que les \u00e9quipes de s\u00e9curit\u00e9 ne devraient pas faire<\/h3>\n
\n
Comment l’\u00e9v\u00e9nement s’inscrit dans la situation de la Q2 2026<\/h2>\n
Quoi que les CISOs devraient pr\u00e9parer pour la prochaine r\u00e9union du conseil d’administration<\/h2>\n
Foire aux questions<\/h2>\n
Combien de temps ont les autorit\u00e9s f\u00e9d\u00e9rales pour corriger CVE-2023-27351 ?<\/h3>\n
Quelles sont les diff\u00e9rences entre CVE-2023-27351 et CVE-2023-27350 ?<\/h3>\n
Quels sont les \u00e9v\u00e9nements de journalisation que les \u00e9quipes de s\u00e9curit\u00e9 devraient surveiller dans leur SIEM ?<\/h3>\n
Est-ce suffisant de bloquer le port de gestion PaperCut par le pare-feu, plut\u00f4t que de le corriger ?<\/h3>\n
Quelle est la position de PaperCut concernant la re-exploitation ?<\/h3>\n
Comment un conseil d’administration devrait-il \u00e9valuer la situation actuelle ?<\/h3>\n
Conseils de lecture de l’\u00e9dition<\/h2>\n