Un centinaio di stampanti Lexmark soffrono di una grave vulnerabilità di sicurezza (valutata 9 punti su 10 in termini di criticità) che può consentire a un aggressore remoto di eseguire codice arbitrario a distanza.
Contraddistinta dall’identificativo CVE-2023-23560, si tratta di una lacuna di sicurezza insita nel firmware delle stampanti: se sfruttata può consentire l’accesso ai lavori di stampa, permettere l’estrazione delle credenziali utilizzate per l’accesso alla rete e consentire movimenti laterali verso altri dispositivi a loro volta connessi alla medesima LAN.
Dal punto di vista prettamente tecnico, la vulnerabilità in questione è di tipo SSRF (server-side request forgery) ed è contenuta nei Web Services utilizzati su ciascuna stampante Lexmark.
Sebbene il problema non sia stato ancora utilizzato per attacchi veri e propri, la pubblicazione online di un Proof-of-Concept (PoC) ovvero del codice che permette di far leva sulla vulnerabilità, suona come un campanello d’allarme: è altamente probabile che la falla di sicurezza possa essere a breve utilizzata per lanciare nuovi attacchi informatici.
Lexmark invita tutti gli utenti a verificare la lista delle stampanti vulnerabili e ad aggiornare il firmware assicurandosi di utilizzare una versione che integra la patch correttiva.
In generale, tutte le versioni del firmware 081.233 e inferiori sono vulnerabili mentre le versioni che contengono la risoluzione del problema sono la 081.234 e successive.
Per verificare quale versione del firmware Lexmark risulta in uso sulla stampante basta accedere alle impostazioni quindi controllare il numero della release nella sezione Informazioni sul dispositivo.
A coloro che non possono applicare subito l’aggiornamento del firmware, Lexmark suggerisce di disabilitare i Web Services in ascolto sulla porta TCP 65002: in questo modo è possibile evitare l’eventuale sfruttamento della vulnerabilità CVE-2023-23560. La modifica può essere applicata portandosi nelle impostazioni della stampante accedendo alla sezione Rete, TCP/IP quindi disattivando TCP 65002 (servizio di stampa WSD).
C’è da dire che una porta come TCP 65002 non è di norma accessibile sulla porta WAN e quindi sull’IP pubblico: firewall e NAT sul router proteggono da attacchi provenienti dall’esterno.
Tuttavia, codice in esecuzione all’interno della LAN potrebbe aprire la porta sull’IP pubblico (ad esempio via UPnP) o sfruttare direttamente il problema di sicurezza utilizzando una catena di exploit.
Nel caso dell’aggiornamento del firmware, vanno comunque tenute presenti le considerazioni in merito all’eventuale blocco delle cartucce compatibili non originali.