Lexmark informa dos vulnerabilidades en más de 120 modelos de impresoras relativamente nuevos. Muchos dispositivos también son para el sector de las pymes y tienen acceso a la red. Según CVSSv3, una vulnerabilidad tiene una puntuación base de 9.0 y, por lo tanto, se considera "crítica". Los usuarios de los modelos deberían actualizar urgentemente el firmware, ya que los atacantes remotos podrían ejecutar el código.
En la lista de instrucciones de seguridad actuales de Lexmark, hay dos entradas actuales para las que se recomienda una actualización de firmware. Según el Common Vulnerability Scoring System Versión 3.0 (CVSSv3 para abreviar), la vulnerabilidad CVE-2023-22960 tiene una puntuación de 5.3. Sin embargo, la segunda vulnerabilidad CVE-2023-23560 es mucho más grave con una puntuación de 9.0 sobre 10 y se considera crítica.
Más de 120 modelos con vulnerabilidad crítica
En la página de aviso de Lexware, la vulnerabilidad crítica CVE-2023-2356 con una puntuación de 9.0 se describe solo de forma breve y concisa: “Se encontró una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en la función de servicios web de los dispositivos Lexmark más nuevos. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto ejecute código arbitrario en un dispositivo”. Se recomienda una actualización de inmediato. La larga lista de dispositivos también incluye muchos modelos nuevos y antiguos que se utilizan en el sector de las pymes y también tienen acceso a la red allí.
Protección de fuerza bruta Holey
La segunda vulnerabilidad, CVE-2023-22960, tiene una puntuación de 5.3 que no debe pasarse por alto. La descripción de la vulnerabilidad: "La explotación exitosa de esta vulnerabilidad podría comprometer las credenciales de la cuenta local". Antecedentes: los dispositivos Lexmark tienen una función que protege contra los ataques de fuerza bruta a las credenciales locales mediante el bloqueo temporal de una cuenta durante un período de tiempo después de una serie de intentos fallidos de inicio de sesión. El administrador del dispositivo puede configurar el número de intentos y el tiempo de bloqueo. Esta vulnerabilidad pasa por alto la protección de fuerza bruta y permite intentos ilimitados de adivinar las credenciales de una cuenta local.
¡Actualizaciones con trampa de versión!
Hay actualizaciones disponibles para ambas vulnerabilidades. La pequeña vulnerabilidad con una puntuación de 5.3 ya está incluida en la versión XXXX.081.232 y será corregida en la versión XXXX.081.233. Pero atención: la vulnerabilidad significativamente más peligrosa con el puntuación crítica 9.0 está en Aún se incluye la versión XXXX.081.233 y solo se cerrará con la versión XXXX.081.234. Utilice únicamente descargas directas de Lexmark para estar seguro.
Más en Lexmark.com