Lexmark segnala due vulnerabilità in oltre 120 modelli di stampante relativamente nuovi. Molti dispositivi sono anche per il settore delle PMI e hanno accesso alla rete. Secondo CVSSv3, una vulnerabilità ha un punteggio base di 9.0 ed è quindi considerata "critica". Gli utenti dei modelli dovrebbero aggiornare urgentemente il firmware, poiché gli aggressori remoti potrebbero eseguire il codice.
Nell'elenco delle attuali istruzioni di sicurezza di Lexmark, sono presenti due voci correnti per le quali si consiglia un aggiornamento del firmware. Secondo il Common Vulnerability Scoring System Version 3.0 – CVSSv3 in breve, la vulnerabilità CVE-2023-22960 ha un punteggio di 5.3. Tuttavia, la seconda vulnerabilità CVE-2023-23560 è molto più grave con un punteggio di 9.0 su 10 ed è considerata critica!
Oltre 120 modelli con vulnerabilità critica
Nella pagina degli avvisi di Lexware, la vulnerabilità critica CVE-2023-2356 con un punteggio di 9.0 è descritta solo brevemente e concisamente: “È stata rilevata una vulnerabilità Server-Side Request Forgery (SSRF) nella funzione Web Services dei dispositivi Lexmark più recenti. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario su un dispositivo". Si consiglia un aggiornamento immediato. Il lungo elenco di dispositivi comprende anche molti modelli nuovi e vecchi che vengono utilizzati nel settore delle PMI e che hanno anche accesso alla rete lì.
Protezione forata dalla forza bruta
La seconda vulnerabilità, CVE-2023-22960, ha un punteggio di 5.3 che non dovrebbe essere trascurato. La descrizione della vulnerabilità: "Lo sfruttamento riuscito di questa vulnerabilità potrebbe portare alla compromissione delle credenziali dell'account locale". Contesto: i dispositivi Lexmark dispongono di una funzione che protegge dagli attacchi di forza bruta alle credenziali locali bloccando temporaneamente un account per un periodo di tempo dopo una serie di tentativi di accesso non riusciti. Il numero di tentativi e il tempo di blocco possono essere impostati da un amministratore del dispositivo. Questa vulnerabilità aggira la protezione dalla forza bruta e consente tentativi illimitati di indovinare le credenziali di un account locale.
Aggiornamenti con versione trap!
Sono disponibili aggiornamenti per entrambe le vulnerabilità. La piccola vulnerabilità con un punteggio di 5.3 è già inclusa nella versione XXXX.081.232 e verrà corretta nella versione XXXX.081.233. Ma attenzione: la vulnerabilità significativamente più pericolosa con il il punteggio critico 9.0 è dentro Versione XXXX.081.233 ancora inclusa e verrà chiuso solo con la versione XXXX.081.234. Utilizzare solo download diretti da Lexmark per sicurezza.
Altro su Lexmark.com