Lunedì 23 gennaio è stato pubblicato il bollettino di sicurezza CVE-2023-22960: ci informa che è stata scoperta una vulnerabilità che interessa oltre 60 modelli di stampanti Lexmark. Se non si prendono le dovute contromisure di Cybersecurity, lo sfruttamento della vulnerabilità consente a un ipotetico attacker di aggirare la funzione di sicurezza informatica che normalmente impedirebbe la scoperta delle credenziali attraverso il web server incorporato nella stampante (web server contattabile oltre che dalla tua LAN, anche da chiunque su Internet nell’ipotesi che in fase di configurazione ti abbiano esposto la porta di management della stampante). Ciò significa che un attacker potrebbe non solo accedere abusivamente alla stampante e manipolarne le sue funzioni (poco male), ma anche effettuare una lettura/copia di tutti i documenti (!) conservati ancora nella memoria interna della stampante, piuttosto che di quelli depositati nell’eventuale share di rete (!!!) in cui la Lexmark può salvare in automatico i documenti generati a seguito di una scansione. Questa vulnerabilità coinvolge sia i classici metodi di autenticazione (username e password) che i PIN.
Normalmente, infatti, i dispositivi e le stampanti multifunzione Lexmark sono dotate di una funzionalità che protegge dagli attacchi informatici che iterano progressivamente dizionari di credenziali, bloccando temporaneamente l’attacker dopo una serie di tentativi di accesso non riusciti (il numero di tentativi e il timer del blocco possono essere impostati da un sysadmin del dispositivo) attraverso l’autenticazione dell’account locale: un attacker motivato che dovesse sfruttare CVE-2023-22960 sarà in grado di aggirare la protezione dagli attacchi informatici che si avvalgono di tecniche di brute forcing, consentendo tentativi illimitati di autenticazione al fine di scovare le credenziali di un account locale (account che successivamente potrebbe essere utilizzato per accedere abusivamente anche ad altri dispositivi (compresi pc e server) nella medesima sottorete in cui è innestata la stampante se disgraziatamente il sysadmin ha utilizzato quelle stesse credenziali per configurare altre stampanti e/o altri dispositivi con indirizzi IP raggiungibili dall’attacker), come mostrato egregiamente in questo video
Reazione di una stampante Lexmark (non vulnerabile a CVE-2023-22960) a seguito di un dictionary attack:
Viceversa, comportamento di una stampante Lexmark questa volta vulnerabile a CVE-2023-22960 a seguito del medesimo dictionary attack:
Hai una Lexmark in azienda e vorresti accertarti se sia o meno realmente vulnerabile con un penetration test? Oppure, desideri aggiornare i tuoi sistemi di rilevamento delle intrusioni (IDS/IPS) per un’efficace controffensiva ad un eventuale tentativo di compromissione? Parliamone!
Viceversa, se non sei interessato ad approfondire la tematica in un’ottica aziendale ma solo a porti al riparo da un attacco informatico fattibile sfruttando CVE-2023-22960, provvedi almeno ad aggiornare il firmware della tua Lexmark così come viene suggerito di fare per i relativi modelli specificati nel bollettino.
dmzware.com 