El error crítico de la impresora RCE Lexmark tiene una explotación pública

Una vulnerabilidad de seguridad crítica que permite la ejecución remota de código (RCE) afecta a más de 120 modelos diferentes de impresoras Lexmark, advirtió el fabricante esta semana.

Y hay un código de explotación de prueba de concepto (PoC) que circula públicamente, agregó, aunque hasta ahora, los ataques en estado salvaje aún no se han materializado.

El error (CVE-2023-23560), que tiene una puntuación de 9 sobre 10 en la escala de gravedad de vulnerabilidad CVSS, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en la "función de servicios web de los dispositivos Lexmark más nuevos". según el gigante de la imprenta asesor (PDF).

Las impresoras tienen un servidor web integrado que permite a los usuarios ver y configurar de forma remota los ajustes de la impresora a través de un portal de Internet. En un ataque SSRF típico, un atacante puede apoderarse de un servidor de este tipo y forzarlo a establecer una conexión con recursos internos que albergan información confidencial; o a sistemas externos que sirven malware (o recolectan cosas como tokens y credenciales).

Impresoras empresariales son una puerta de entrada sigilosa para los actores de amenazas en los entornos empresariales, pero a menudo la seguridad de TI los pasa por alto. Sin embargo, como vio la comunidad con el ahora infame Defecto RCE "PrintNightmare" en el Administrador de trabajos de impresión de Windows de Microsoft que hizo que los equipos de seguridad se apresuraran, a menudo tienen acceso privilegiado a los recursos internos, y eso puede ser problemático.

Lexmark ha publicado un parche de firmware y ha señalado que la desactivación de los servicios web en el puerto TCP 65002 también servirá para la protección.