Kritikus RCE Lexmark nyomtatóhiba nyilvánosan kihasználható

A távoli kódvégrehajtást (RCE) lehetővé tevő kritikus biztonsági rés több mint 120 különböző Lexmark nyomtatómodellt érint – figyelmeztetett a gyártó a héten.

És a proof of concept (PoC) kizsákmányoló kódok nyilvánosan keringenek – tette hozzá – bár ez idáig a vadon élő támadások még nem valósultak meg.

A hiba (CVE-2023-23560), amely a CVSS sebezhetőségi-súlyossági skáláján 9-ből 10 pontot ér, egy szerveroldali kérés-hamisítás (SSRF) biztonsági rése az „újabb Lexmark-eszközök webszolgáltatási szolgáltatásában”. a nyomdaóriás szerint tanácsadó (PDF).

A nyomtatók beépített webszerverrel rendelkeznek, amely lehetővé teszi a felhasználók számára a nyomtatóbeállítások megtekintését és távolról történő konfigurálását egy internetes portálon keresztül. Egy tipikus SSRF támadásban a támadó átveheti az irányítást egy ilyen szerveren, és rákényszerítheti azt, hogy kapcsolatot létesítsen a bizalmas információkat tartalmazó belső erőforrásokkal; vagy rosszindulatú programokat kiszolgáló külső rendszerekre (vagy olyan dolgok begyűjtésére, mint a tokenek és hitelesítő adatok).

Vállalati nyomtatók rejtett bejáratot jelentenek a fenyegetések szereplői számára a vállalati környezetekbe – de az IT-biztonság gyakran figyelmen kívül hagyja őket. Ahogy azonban a közösség látta a mára hírhedtté vált „PrintNightmare” RCE hiba A Microsoft Windows Print Spooler programjában, amely a biztonsági csapatokat titkosításra küldte, gyakran kiváltságos hozzáféréssel rendelkeznek a belső erőforrásokhoz, és ez problémás lehet.

A Lexmark kiadott egy firmware-javítást, és megjegyezte, hogy a webszolgáltatások teljes letiltása a 65002-es TCP-porton szintén megteszi a védelmet.