A Lexmark relata duas vulnerabilidades em mais de 120 modelos de impressoras relativamente novos. Muitos dispositivos também são para o setor de PME e têm acesso à rede. De acordo com o CVSSv3, uma vulnerabilidade tem uma pontuação base de 9.0 e, portanto, é considerada “crítica”. Os usuários dos modelos devem atualizar o firmware com urgência, pois invasores remotos podem executar o código.
Na lista de instruções de segurança atuais da Lexmark, há duas entradas atuais para as quais uma atualização de firmware é recomendada. De acordo com o Common Vulnerability Scoring System Versão 3.0 – CVSSv3 para abreviar, a vulnerabilidade CVE-2023-22960 tem uma pontuação de 5.3. No entanto, a segunda vulnerabilidade CVE-2023-23560 é muito mais grave com uma pontuação de 9.0 em 10 e é considerada crítica!
Mais de 120 modelos com vulnerabilidade crítica
Na página de aviso da Lexware, a vulnerabilidade crítica CVE-2023-2356 com uma pontuação de 9.0 é descrita apenas de forma breve e concisa: “Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) foi encontrada na função de serviços da Web de dispositivos Lexmark mais recentes. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário em um dispositivo." Uma atualização é recomendada imediatamente. A longa lista de dispositivos também inclui muitos modelos mais novos e mais antigos que são usados no setor de PME e também têm acesso à rede lá.
Proteção de força bruta furada
A segunda vulnerabilidade, CVE-2023-22960, possui uma pontuação de 5.3 que não deve ser negligenciada. A descrição da vulnerabilidade: “A exploração bem-sucedida desta vulnerabilidade pode comprometer as credenciais da conta local”. Histórico: os dispositivos Lexmark possuem um recurso que protege contra ataques de força bruta em credenciais locais, bloqueando temporariamente uma conta por um período de tempo após uma série de tentativas malsucedidas de login. O número de tentativas e o tempo de bloqueio podem ser definidos pelo administrador do dispositivo. Esta vulnerabilidade ignora a proteção de força bruta e permite tentativas irrestritas de adivinhar as credenciais de uma conta local.
Atualizações com armadilha de versão!
As atualizações estão disponíveis para ambas as vulnerabilidades. A pequena vulnerabilidade com pontuação de 5.3 já está incluída na versão XXXX.081.232 e será corrigida na versão XXXX.081.233. Mas atenção: a vulnerabilidade significativamente mais perigosa com o pontuação crítica 9.0 está em Versão XXXX.081.233 ainda incluída e só será fechado com a versão XXXX.081.234. Use apenas downloads diretos da Lexmark para sua segurança.
Mais em Lexmark.com