Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades con PoC pública que afectan a productos Lexmark, que permitirían a un atacante no autenticado realizar ataques del tipo server-side request forgery (SSRF) y evadir la protección en el sistema afectado.
Las vulnerabilidades reportadas se componen de 1 (uno) de severidad “Crítica” y 1 (uno) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-23560, de severidad “Crítica”, con puntuación asignada de 9.8. Esta vulnerabilidad del tipo server-side request forgery (SSRF) se debe a una falla de validación de datos de entradas del usuario en la función correspondiente a “Web Services feature” en dispositivos Lexmark. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el dispositivo afectado.
- CVE-2023-22960, de severidad “Alta”, con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de seguridad en la protección brute-force en dispositivos Lexmark. Esto permitiría a un atacante a través de intentos ilimitados para adivinar las credenciales de acceso, realizar evasión de permisos en una cuenta local del dispositivo afectado.
Los principales productos afectados son:
- Lexmark CX944, XC9335, XC9445, XC9455, XC9465 versión CXTPC.081.233 y anteriores.
- Lexmark MX432, XM3142, versión MXTCT.081.233 y anteriores.
- Lexmark MX931, versión MXTPM.081.233 y anteriores.
- Lexmark XC4342, XC4352, versión CXTMM.081.233 y anteriores.
Se puede acceder al listado completo de productos afectados aquí
Recomendamos acceder a las actualizaciones provistas por el fabricante en el siguiente enlace:
Adicionalmente, para la vulnerabilidad CVE-2023-23560, Lexmark recomienda bloquear/ deshabilitar la función de Web Services feature en el puerto TCP 65002, siguiendo los siguientes pasos:
- Configuración > Red/Puertos > TCP/IP > Acceso a puertos TCP/IP
- Desactivar TCP 65002 (WSD Print Service)
- Guardar.
Referencias:
- https://securityonline.info/cve-2023-23560-criticial-server-side-request-forgery-flaw-in-lexmark-products/
- https://nvd.nist.gov/vuln/detail/CVE-2023-23560
- https://nvd.nist.gov/vuln/detail/CVE-2023-22960
- https://www.lexmark.com/en_us/solutions/security/lexmark-security-advisories.html
- https://publications.lexmark.com/publications/security-alerts/CVE-2023-23560.pdf
- https://publications.lexmark.com/publications/security-alerts/CVE-2023-22960.pdf