27. Januar 2023

0

0Drucken

0

Sicherheitslücke CVE-2023-23560 (und CVE-2023-22960): Erneut "kritische" Sicherheitslücke bei Lexmark-Druckern

Lexmark meldet erneut Probleme bezüglich der Sicherheit von vielen Laserdruckern der Generationen seit Vorstellung 2018. Die als "kritisch" eingestufte Lücke kann mit aktueller Firmware geschlossen werden. Es sollte dringend gehandelt werden.

Abo für Drucker & Tinte bereits ab 6,99€ monatlich

Inklusive einem "EPSON EcoTank". Ohne Aktivierungsgebühr.

Monatliche Abo-Gebühr inklusive Tinte für je 50 Seiten mit einem Epson Ecotank ET-2870U. Andere Druckermodelle oder mehr Seiten gegen Aufpreis. Mindestlaufzeit 24 Monate.

Bereits im vergangenen Jahr hatte der zum chinesischen "Ninestar"-Konzern gehörende Druckerbauer Lexmark mehrere kritische Sicherheitslücken in deren Geräten zu verzeichnen. Vor wenigen Tagen, am 23. Januar 2023 folgte nun der nächste Schwung. Dazu gehört eine als "mittel" eingestufte sowie eine als "kritisch" (CVSS 9.0) bewertete Lücke.

CVE-2023-22960, CVSS 5.3, Level "mittel"

Die "lediglich" mit dem Risikolevel "mittel" (CVSS 5.3) eingestufte Lücke CVE-2023-22960 beschreibt mögliche "Brute-Force-Attacken" auf den eingebauten Webserver zur Konfiguration und Kontrolle des Druckers. Normalerweise gibt es eine Anmeldesperre für eine definierte Zeit, wenn mehrfach ein falsches Passwort eingegeben wurde. Mit der beschriebenen Lücke kann diese umgangen werden und das notwendige Passwort durch "erraten" - Versuch für Versuch - durchgegangen werden. Insbesondere einfache Passwörter können mit dieser Methode schnell "geknackt" werden.

Eine Liste der betroffenen Drucker ist in einem Support-Dokument aufgelistet. Die entsprechenden Drucker verwenden eine Firmware mit der Version bis einschließlich "xxxxx.081.232".

Korrigiert wurde die Lücke mit der folgenden Version "xxxxx.081.233". Zu beachten ist jedoch, dass wiederum diese Version die nachfolgende "kritische" Lücke aufweist und allenfalls als Zwischenschritt eingespielt werden sollte.

CVE-2023-22960 - betroffene Drucker (Vorsicht: "CVE-2023-23560" beachten)

CVE-2023-23560, CVSS 9.0, Level "kritisch"

Deutlich gravierender ist dagegen die Sicherheitslücke, die unter "CVE-2023-23560" geführt wird. Laut Lexmark handelt es sich dabei um eine SSRF-Schwachstelle (Server-side request forgery), bei der es mittels Manipulation von Anfragen ermöglicht wird, auf dem Drucker Schadcode auszuführen. Die verwendete Schnittstelle dient normalerweise dem Austausch von Statusinformationen des Druckers im Netzwerk.

Die Lücke hat einen hohen CVS-Score von 9.0 und wird somit als "kritisch" eingestuft. Laut Lexmark sind nur "neuere" Drucker betroffen, jedoch geht das Vorstellungsdatum fehlerhafter bis zu fünf Jahre auf 2018 zurück.

CVE-2023-23560

Firmwareupdate steht zur Verfügung

Um die betroffenen Drucker wieder sicher zu machen, bietet Lexmark eine aktualisierte Firmware an. In der Regel ist dies ab der Version "xxxxx.081.234" und höher der Fall. Eine detaillierte Liste mit Geräten findet man auf der Lexmark-Webseite oder in der nachfolgenden Tabelle beim Druckerchannel.

Hinweis der zur Verwendung von Drittanbietertoner

Zu beachten ist, dass Lexmark die Firmware zum Teil auch dazu nutzt, eine Sperrung von Drittanbietermaterialien "nachzuschärfen". Womöglich funktionieren Tonerkartuschen, die nicht von Lexmark stammen, unmittelbar oder später nach Aktualisierung der Firmware nicht mehr. Neuerdings kommuniziert Lexmark dies auch explizit.

Lexmark: Firmware-updates können bewirken, dass Druckereinstellungen geändert und nachgemachte und/oder nicht autorisierte Produkte, Zubehörteile, Verbrauchsmaterialien (wie Toner und Tinten), Software oder Schnittstellen nicht mehr verwendet werden können.

Firmware-Aktualisierung bei Lexmark

Lexmark-Support: manueller Firmware-Download