Kritische Sicherheitslücke: Neuere Lexmark-Drucker ermöglichen Codeschmuggel


Eine kritische Sicherheitslücke in neueren Lexmark-Druckermodellen ermöglicht es Angreifern, eigenen Code einzuschleusen und auszuführen. Außerdem könnten Angreifer bei einer Reihe von Geräten den Brute-Force-Schutz umgehen, der das massenhafte Ausprobieren von Zugangsdaten verhindern soll. Davor warnt der Hersteller derzeit und stellt Aktualisierungen bereit.

Die kritische Schwachstelle betrifft „neuere Lexmark-Geräte“. Die listet die Lexmark-Sicherheitsmeldung auf und erläutert, dass es sich um eine Schwachstelle des Typs Server-Side Request Forgery (SSRF) handelt. SSRF erlauben Angreifern in der Regel, interne Ressourcen auszulesen oder zu manipulieren. Eine derartige Lücke hat Lexmark in den Web-Services-Funktionen der Geräte entdeckt. Diese Schwachstelle kann von einem Angreifer ausgenutzt werden, um die Ausführung von beliebigem Code auf dem Gerät zu provozieren (CVE-2023-23560, CVSS 9.0, Risiko „kritisch„).

Ein mittelschweres Sicherheitsproblem betrifft weitere Lexmark-Geräte, und zwar nicht nur neuere. In der Warnmeldung von Lexmark sind sie aufgelistet. Die Geräte haben einen Schutzmechanismus, der ein Konto temporär sperrt, wenn zuviele Log-in-Versuche scheitern. Diesen Schutz könnten bösartige Nutzer umgehen und so eine Brute-Force-Attacke auf Zugangsdaten starten (CVE-2023-22960, CVSS 5.3, mittel).

Die kritische Schwachstelle schließen Firmware-Versionen, die *.081.234 oder neuer lauten. Die zweite Sicherheitslücke beheben Firmwares mit dem Versionsstand *.081.233 und neuer. Sie lassen sich auf der Lexmark-Support-Webseite herunterladen. Administratorinnen und Administratoren sollten die Aktualisierung insbesondere bei den Modellen zügig anwenden, die von der kritischen Sicherheitslücke betroffen sind.

Zum Ende des Sommers des vergangenen Jahres hatte Lexmark Schwachstellen in den Geräten zu stopfen, durch die Angreifer sich ebenfalls einnisten konnten. Damals waren mehr als 100 Druckermodelle davon betroffen.


(dmk)

Zur Startseite



Heinz Duthel

Schreibe einen Kommentar