Kritischer RCE Lexmark-Druckerfehler wird öffentlich ausgenutzt

Eine kritische Sicherheitslücke, die Remote Code Execution (RCE) ermöglicht, betrifft mehr als 120 verschiedene Lexmark-Druckermodelle, warnte der Hersteller diese Woche.

Und es gibt einen Proof-of-Concept (PoC)-Exploit-Code, der öffentlich zirkuliert, fügte er hinzu – obwohl es bisher noch keine In-the-Wild-Angriffe gegeben hat.

Der Fehler (CVE-2023-23560), der eine Bewertung von 9 von 10 auf der CVSS-Schweregradskala für Schwachstellen aufweist, ist eine Sicherheitslücke durch serverseitige Anforderungsfälschung (SSRF) in der „Webdienstfunktion neuerer Lexmark-Geräte“. nach Angaben des Druckgiganten beratend (PDF).

Die Drucker verfügen über einen eingebetteten Webserver, der es Benutzern ermöglicht, Druckereinstellungen über ein Internetportal anzuzeigen und aus der Ferne zu konfigurieren. Bei einem typischen SSRF-Angriff kann ein Angreifer einen solchen Server übernehmen und ihn zwingen, eine Verbindung zu internen Ressourcen herzustellen, die sensible Informationen enthalten; oder an externe Systeme, die Malware bereitstellen (oder Dinge wie Token und Anmeldeinformationen sammeln).

Unternehmensdrucker sind ein heimlicher Zugang für Bedrohungsakteure in Unternehmensumgebungen – werden aber von der IT-Sicherheit oft übersehen. Wie die Community jedoch mit dem inzwischen berüchtigten sah „PrintNightmare“ RCE-Fehler im Windows Print Spooler von Microsoft, der Sicherheitsteams in Bedrängnis brachte, haben sie oft privilegierten Zugriff auf interne Ressourcen, und das kann problematisch sein.

Lexmark hat einen Firmware-Patch herausgegeben und darauf hingewiesen, dass das vollständige Deaktivieren von Webdiensten auf TCP-Port 65002 auch zum Schutz ausreicht.