Kritieke RCE Lexmark-printerbug wordt door het publiek misbruikt

Meer dan 120 verschillende Lexmark-printermodellen zijn getroffen door een kritieke beveiligingskwetsbaarheid die externe code-uitvoering (RCE) mogelijk maakt, waarschuwde de fabrikant deze week.

En er circuleert proof of concept (PoC) exploitcode in het openbaar, voegde het eraan toe - hoewel tot nu toe in-the-wild aanvallen nog moeten plaatsvinden.

De bug (CVE-2023-23560), die een score van 9 op 10 heeft op de CVSS-kwetsbaarheidsschaal, is een server-side request forgery (SSRF)-kwetsbaarheid in de "Web Services-functie van nieuwere Lexmark-apparaten". volgens de printgigant adviserend (PDF).

De printers hebben een ingebouwde webserver waarmee gebruikers printerinstellingen op afstand kunnen bekijken en configureren via een internetportaal. Bij een typische SSRF-aanval kan een aanvaller zo'n server overnemen en deze dwingen een verbinding te maken met ofwel interne bronnen die gevoelige informatie bevatten; of naar externe systemen die malware bedienen (of zaken als tokens en inloggegevens verzamelen).

Zakelijke printers vormen een onopvallende toegangspoort voor bedreigingsactoren tot bedrijfsomgevingen, maar worden vaak over het hoofd gezien door IT-beveiliging. Echter, zoals de gemeenschap zag met de nu beruchte "PrintNightmare" RCE-fout in de Windows Print Spooler van Microsoft die ervoor zorgde dat beveiligingsteams in de war raakten, hebben ze vaak geprivilegieerde toegang tot interne bronnen, en dat kan problematisch zijn.

Lexmark heeft een firmware-patch uitgebracht en merkte op dat het uitschakelen van webservices op TCP-poort 65002 ook voldoende bescherming biedt.