سازنده این هفته هشدار داد که یک آسیب پذیری امنیتی حیاتی که امکان اجرای کد از راه دور (RCE) را می دهد، بیش از 120 مدل مختلف چاپگر Lexmark را تحت تاثیر قرار می دهد.
و، شواهدی وجود دارد که کد سوء استفادهکننده مفهومی (PoC) بهطور عمومی در حال انتشار است – هرچند تا کنون، حملات درون وحشی هنوز محقق نشدهاند.
باگ (CVE-2023-23560)، که دارای امتیاز 9 از 10 در مقیاس شدت آسیب پذیری CVSS است، یک آسیب پذیری جعل درخواست سمت سرور (SSRF) در «ویژگی خدمات وب دستگاه های جدیدتر Lexmark» است. با توجه به غول چاپ مشاوره (PDF).
چاپگرها یک وب سرور تعبیه شده دارند که به کاربران اجازه می دهد تنظیمات چاپگر را از راه دور از طریق یک پورتال اینترنتی مشاهده و پیکربندی کنند. در یک حمله معمولی SSRF، مهاجم میتواند چنین سروری را تصاحب کند و آن را مجبور کند تا با منابع داخلی حاوی اطلاعات حساس ارتباط برقرار کند. یا به سیستمهای خارجی که بدافزار را ارائه میکنند (یا چیزهایی مانند توکنها و اعتبارنامهها را جمعآوری میکنند).
چاپگرهای سازمانی یک راه ورود مخفیانه برای عوامل تهدید به محیط های سازمانی هستند - اما اغلب توسط امنیت فناوری اطلاعات نادیده گرفته می شوند. با این حال، همانطور که جامعه در حال حاضر بدنام دید نقص RCE "PrintNightmare". در Windows Print Spooler مایکروسافت که تیمهای امنیتی را در حال تقلا میفرستاد، آنها اغلب دسترسی ممتازی به منابع داخلی دارند و این میتواند مشکلساز باشد.
Lexmark یک وصله میانافزار منتشر کرده است و خاطرنشان کرده است که غیرفعال کردن خدمات وب در پورت TCP 65002 بهطور کلی، این کار را برای محافظت انجام میدهد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud/critical-rce-lexmark-printer-bug-has-public-exploit
- 10
- 9
- a
- دسترسی
- مطابق
- اضافه
- اجازه دادن
- اجازه می دهد تا
- و
- حمله
- حمله
- شکاف
- اشکال
- در گردش
- رمز
- انجمن
- مفهوم
- ارتباط
- مجوزها و اعتبارات
- بحرانی
- امنیت سایبری
- روزانه
- داده ها
- نقض داده ها
- تحویل داده
- دستگاه ها
- مختلف
- هر دو
- پست الکترونیک
- جاسازی شده
- سنگ سنباده
- سرمایه گذاری
- محیط
- اتر (ETH)
- اعدام
- بهره برداری
- خارجی
- ویژگی
- استحکام
- غول
- جمع آوری
- مسکن
- اما
- HTTPS
- in
- اطلاعات
- داخلی
- اینترنت
- صادر
- IT
- امنیت آن است
- آخرین
- ساخت
- نرم افزارهای مخرب
- سازنده
- مایکروسافت
- مدل
- بیش
- MPL
- اشاره کرد
- وصله
- افلاطون
- هوش داده افلاطون
- PlatoData
- پوک
- پورتال
- چاپ
- ممتاز
- اثبات
- اثبات مفهوم
- حفاظت
- عمومی
- عمومی
- دور
- درخواست
- منابع
- مقیاس
- تیم امنیت لاتاری
- آسیب پذیری امنیتی
- حساس
- خدمات
- خدمت
- تنظیمات
- So
- تا حالا
- نهان
- مشترک
- چنین
- سیستم های
- گرفتن
- تیم ها
- La
- اشیاء
- این هفته
- تهدید
- بازیگران تهدید
- تهدید
- به
- نشانه
- روند
- نوعی
- کاربران
- از طريق
- چشم انداز
- آسیب پذیری ها
- آسیب پذیری
- وب
- وب سرور
- خدمات وب
- هفته
- هفتگی
- که
- اراده
- پنجره
- شما
- زفیرنت