Lexmark signale deux vulnérabilités dans plus de 120 modèles d'imprimantes relativement nouveaux. De nombreux appareils sont également destinés au secteur des PME et disposent d'un accès au réseau. Selon CVSSv3, une vulnérabilité a un score de base de 9.0 et est donc considérée comme « critique ». Les utilisateurs des modèles doivent mettre à jour de toute urgence le micrologiciel, car des attaquants distants pourraient exécuter du code.
Dans la liste des consignes de sécurité actuelles de Lexmark, il existe deux entrées actuelles pour lesquelles une mise à jour du micrologiciel est recommandée. Selon le Common Vulnerability Scoring System Version 3.0 – CVSSv3 en abrégé, la vulnérabilité CVE-2023-22960 a un score de 5.3. Cependant, la deuxième vulnérabilité CVE-2023-23560 est bien plus sérieuse avec un score de 9.0 sur 10 et est considérée comme critique !
Plus de 120 modèles présentant une vulnérabilité critique
Sur la page d'avis Lexware, la vulnérabilité critique CVE-2023-2356 avec un score de 9.0 n'est décrite que brièvement et de manière concise : « Une vulnérabilité Server-Side Request Forgery (SSRF) a été trouvée dans la fonction Web Services des nouveaux appareils Lexmark. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d'exécuter du code arbitraire sur un appareil." Une mise à jour est recommandée immédiatement. La longue liste d'appareils comprend également de nombreux modèles plus récents et plus anciens qui sont utilisés dans le secteur des PME et qui y ont également accès au réseau.
Protection trouée contre la force brute
La deuxième vulnérabilité, CVE-2023-22960, a un score de 5.3 qu'il ne faut pas négliger. La description de la vulnérabilité : "L'exploitation réussie de cette vulnérabilité pourrait entraîner la compromission des informations d'identification du compte local." Contexte : les appareils Lexmark disposent d'une fonctionnalité qui protège contre les attaques par force brute sur les informations d'identification locales en verrouillant temporairement un compte pendant un certain temps après une série de tentatives de connexion infructueuses. Le nombre de tentatives et la durée de verrouillage peuvent être définis par un administrateur de l'appareil. Cette vulnérabilité contourne la protection contre la force brute et permet des tentatives illimitées pour deviner les informations d'identification d'un compte local.
Mises à jour avec piège de version !
Des mises à jour sont disponibles pour les deux vulnérabilités. La petite vulnérabilité avec un score de 5.3 est déjà incluse dans la version XXXX.081.232 et sera corrigée dans la version XXXX.081.233. Mais attention: la vulnérabilité nettement plus dangereuse avec le score critique 9.0 est en Version XXXX.081.233 toujours incluse et ne sera fermé qu'avec la version XXXX.081.234. N'utilisez que des téléchargements directs depuis Lexmark pour plus de sécurité.
Plus sur Lexmark.com