Lexmark, nispeten yeni olan 120'den fazla yazıcı modelinde iki güvenlik açığı bildirdi. Birçok cihaz da KOBİ sektörü içindir ve ağ erişimine sahiptir. CVSSv3'e göre, bir güvenlik açığının taban puanı 9.0'dır ve bu nedenle "kritik" olarak kabul edilir. Uzaktan saldırganlar kod çalıştırabileceğinden, modellerin kullanıcılarının ürün yazılımını acilen güncellemesi gerekir.
Lexmark'ın güncel güvenlik talimatları listesinde, kendileri için bir ürün yazılımı güncellemesinin önerildiği iki güncel giriş vardır. Ortak Güvenlik Açığı Puanlama Sistemi Sürüm 3.0 – kısaca CVSSv3'e göre, CVE-2023-22960 güvenlik açığının puanı 5.3'tür. Ancak ikinci güvenlik açığı CVE-2023-23560, 9.0 üzerinden 10 puanla çok daha ciddi ve kritik kabul ediliyor!
Kritik güvenlik açığına sahip 120'den fazla model
Lexware bildirim sayfasında, 2023 puanlı kritik güvenlik açığı CVE-2356-9.0 yalnızca kısa ve öz bir şekilde açıklanmıştır: “Daha yeni Lexmark aygıtlarının Web Hizmetleri işlevinde bir Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığı bulundu. Bu güvenlik açığından başarıyla yararlanılması, uzaktaki bir saldırganın bir aygıtta rasgele kod yürütmesine izin verebilir." Derhal bir güncelleme önerilir. Uzun cihaz listesi ayrıca KOBİ sektöründe kullanılan ve burada ağ erişimi olan daha yeni ve daha eski modelleri de içerir.
Holey kaba kuvvet koruması
İkinci güvenlik açığı olan CVE-2023-22960, ihmal edilmemesi gereken 5.3 puana sahiptir. Güvenlik açığının açıklaması: "Bu güvenlik açığından başarıyla yararlanılması, yerel hesap kimlik bilgilerinin ele geçirilmesine yol açabilir." Arka plan: Lexmark cihazları, bir dizi başarısız oturum açma denemesinden sonra hesabı bir süreliğine geçici olarak kilitleyerek yerel kimlik bilgilerine yönelik kaba kuvvet saldırılarına karşı koruma sağlayan bir özelliğe sahiptir. Deneme sayısı ve kilitleme süresi bir cihaz yöneticisi tarafından ayarlanabilir. Bu güvenlik açığı kaba kuvvet korumasını atlar ve yerel bir hesabın kimlik bilgilerini sınırsızca tahmin etme girişimlerine izin verir.
Sürüm tuzağı ile güncellemeler!
Her iki güvenlik açığı için güncellemeler mevcuttur. 5.3 puanlı küçük güvenlik açığı zaten XXXX.081.232 sürümüne dahil edilmiştir ve XXXX.081.233 sürümünde düzeltilecektir. Ancak dikkat: ile önemli ölçüde daha tehlikeli güvenlik açığı kritik puan 9.0 Sürüm XXXX.081.233 hala dahil ve yalnızca XXXX.081.234 sürümüyle kapatılacak. Güvende olmak için yalnızca Lexmark'tan doğrudan indirmeleri kullanın.
Daha fazlası Lexmark.com'da