Bug crítico da impressora Lexmark RCE tem exploração pública

Uma vulnerabilidade crítica de segurança que permite a execução remota de código (RCE) afeta mais de 120 modelos diferentes de impressoras Lexmark, alertou o fabricante esta semana.

E há um código de exploração de prova de conceito (PoC) circulando publicamente, acrescentou - embora, até agora, ataques in-the-wild ainda não tenham se materializado.

O bug (CVE-2023-23560), que carrega uma pontuação de 9 em 10 na escala de vulnerabilidade-gravidade do CVSS, é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no "recurso de serviços da Web de dispositivos Lexmark mais recentes", de acordo com a gigante da impressão consultivo (PDF).

As impressoras possuem um servidor da Web incorporado que permite aos usuários visualizar e definir remotamente as configurações da impressora por meio de um portal da Internet. Em um ataque SSRF típico, um invasor pode assumir o controle de tal servidor e forçá-lo a fazer uma conexão com recursos internos que armazenam informações confidenciais; ou para sistemas externos que veiculam malware (ou coletam itens como tokens e credenciais).

Impressoras corporativas são uma porta de entrada discreta para agentes de ameaças em ambientes corporativos, mas geralmente são ignorados pela segurança de TI. No entanto, como a comunidade viu com o agora infame Falha RCE “PrintNightmare” no spooler de impressão do Windows da Microsoft que enviou equipes de segurança embaralhadas, eles geralmente têm acesso privilegiado a recursos internos e isso pode ser problemático.

A Lexmark lançou um patch de firmware e observou que desabilitar completamente os Serviços da Web na porta TCP 65002 também funcionará para proteção.