Lexmark повідомляє про дві вразливості в понад 120 відносно нових моделях принтерів. Багато пристроїв також призначені для сектору МСП і мають доступ до мережі. Згідно з CVSSv3, уразливість має базову оцінку 9.0 і тому вважається «критичною». Користувачам моделей слід терміново оновити прошивку, оскільки віддалені зловмисники можуть запустити код.
У списку поточних інструкцій з безпеки від Lexmark є два поточні записи, для яких рекомендовано оновити мікропрограму. Відповідно до Common Vulnerability Scoring System Version 3.0 (скорочено CVSSv3), уразливість CVE-2023-22960 має оцінку 5.3. Однак друга вразливість CVE-2023-23560 набагато серйозніша з оцінкою 9.0 з 10 і вважається критичною!
Більше 120 моделей з критичною вразливістю
На сторінці повідомлень Lexware критична вразливість CVE-2023-2356 із оцінкою 9.0 описана лише коротко й лаконічно: «Уразливість підробки запитів на стороні сервера (SSRF) виявлено у функції веб-служб нових пристроїв Lexmark. Успішне використання цієї вразливості може дозволити віддаленому зловмиснику виконати довільний код на пристрої». Рекомендується негайно оновити. Довгий список пристроїв також включає багато новіших і старіших моделей, які використовуються в секторі малого та середнього бізнесу і також мають там доступ до мережі.
Дірявий захист від грубої сили
Друга вразливість, CVE-2023-22960, має оцінку 5.3, якою не слід нехтувати. Опис вразливості: «Успішне використання цієї вразливості може призвести до компрометації облікових даних локального облікового запису». Передумови: пристрої Lexmark мають функцію, яка захищає від атак методом грубої сили на локальні облікові дані шляхом тимчасового блокування облікового запису на певний проміжок часу після серії невдалих спроб входу. Кількість спроб і час блокування може встановити адміністратор пристрою. Ця вразливість обходить захист від грубої сили та дозволяє необмежені спроби вгадати облікові дані локального облікового запису.
Оновлення з перехопленням версій!
Доступні оновлення для обох уразливостей. Невелика вразливість із оцінкою 5.3 вже включена у версію XXXX.081.232 і буде виправлена у версії XXXX.081.233. Але увагу: значно більш небезпечна вразливість з критична оцінка 9.0 Версія XXXX.081.233 все ще включена і буде закрито лише з версією XXXX.081.234. Задля безпеки використовуйте лише пряме завантаження з Lexmark.
Більше на Lexmark.com