1. DC
  2. Tests & Artikel
  3. News
  4. Sicherheitslücke: CVE-2023-23560 (und CVE-2023-22960)

Sicherheitslücke CVE-2023-23560 (und CVE-2023-22960): Erneut "kritische" Sicherheitslücke bei Lexmark-Druckern

von Ronny Budzinske

Lexmark meldet erneut Probleme bezüglich der Sicherheit von vielen Laserdruckern der Generationen seit Vorstellung 2018. Die als "kritisch" eingestufte Lücke kann mit aktueller Firmware geschlossen werden. Es sollte dringend gehandelt werden.

Bereits im vergangenen Jahr hatte der zum chinesischen "Ninestar"-Konzern gehörende Druckerbauer Lexmark mehrere kritische Sicherheitslücken in deren Geräten zu verzeichnen. Vor wenigen Tagen, am 23. Januar 2023 folgte nun der nächste Schwung. Dazu gehört eine als "mittel" eingestufte sowie eine als "kritisch" (CVSS 9.0) bewertete Lücke.

CVE-2023-22960, CVSS 5.3, Level "mittel"

Die "lediglich" mit dem Risikolevel "mittel" (CVSS 5.3) eingestufte Lücke CVE-2023-22960 beschreibt mögliche "Brute-Force-Attacken" auf den eingebauten Webserver zur Konfiguration und Kontrolle des Druckers. Normalerweise gibt es eine Anmeldesperre für eine definierte Zeit, wenn mehrfach ein falsches Passwort eingegeben wurde. Mit der beschriebenen Lücke kann diese umgangen werden und das notwendige Passwort durch "erraten" - Versuch für Versuch - durchgegangen werden. Insbesondere einfache Passwörter können mit dieser Methode schnell "geknackt" werden.

Eine Liste der betroffenen Drucker ist in einem Support-Dokument aufgelistet. Die entsprechenden Drucker verwenden eine Firmware mit der Version bis einschließlich "xxxxx.081.232".

Korrigiert wurde die Lücke mit der folgenden Version "xxxxx.081.233". Zu beachten ist jedoch, dass wiederum diese Version die nachfolgende "kritische" Lücke aufweist und allenfalls als Zwischenschritt eingespielt werden sollte.

CVE-2023-22960 - betroffene Drucker (Vorsicht: "CVE-2023-23560" beachten)

CVE-2023-23560, CVSS 9.0, Level "kritisch"

Deutlich gravierender ist dagegen die Sicherheitslücke, die unter "CVE-2023-23560" geführt wird. Laut Lexmark handelt es sich dabei um eine SSRF-Schwachstelle (Server-side request forgery), bei der es mittels Manipulation von Anfragen ermöglicht wird, auf dem Drucker Schadcode auszuführen. Die verwendete Schnittstelle dient normalerweise dem Austausch von Statusinformationen des Druckers im Netzwerk.

Die Lücke hat einen hohen CVS-Score von 9.0 und wird somit als "kritisch" eingestuft. Laut Lexmark sind nur "neuere" Drucker betroffen, jedoch geht das Vorstellungsdatum fehlerhafter bis zu fünf Jahre auf 2018 zurück.

CVE-2023-23560

Firmwareupdate steht zur Verfügung

Um die betroffenen Drucker wieder sicher zu machen, bietet Lexmark eine aktualisierte Firmware an. In der Regel ist dies ab der Version "xxxxx.081.234" und höher der Fall. Eine detaillierte Liste mit Geräten findet man auf der Lexmark-Webseite oder in der nachfolgenden Tabelle beim Druckerchannel.

Hinweis der zur Verwendung von Drittanbietertoner

Zu beachten ist, dass Lexmark die Firmware zum Teil auch dazu nutzt, eine Sperrung von Drittanbietermaterialien "nachzuschärfen". Womöglich funktionieren Tonerkartuschen, die nicht von Lexmark stammen, unmittelbar oder später nach Aktualisierung der Firmware nicht mehr. Neuerdings kommuniziert Lexmark dies auch explizit.

Lexmark: Firmware-updates können bewirken, dass Druckereinstellungen geändert und nachgemachte und/oder nicht autorisierte Produkte, Zubehörteile, Verbrauchsmaterialien (wie Toner und Tinten), Software oder Schnittstellen nicht mehr verwendet werden können.

Firmware-Aktualisierung bei Lexmark

Lexmark-Support: manueller Firmware-Download

Kritisches Sicherheitsupdate für Lexmark-Drucker vom Januar 2023
letzte fehlerhafte Firmware
(Update nötig)
korrigierte Firmware
CX944, XC9335, XC9445, XC9455, XC9465CXTPC.081.233CXTPC.081.234
MX432, XM3142MXTCT.081.233MXTCT.081.234
MX931MXTPM.081.233MXTPM.081.234
XC4342, XC4352CXTMM.081.233CXTMM.081.234
B2236MSLSG.081.233MSLSG.081.234
MB2236MXLSG.081.233MXLSG.081.234
MS331, MS431MSLBD.081.233MSLBD.081.234
M1342MSLBD.081.233MSLBD.081.234
B3442, B3340MSLBD.081.233MSLBD.081.234
XM1342MSLBD.081.233MSLBD.081.234
MX331, MX431MXLBD.081.233MXLBD.081.234
MB3442MXLBD.081.233MXLBD.081.234
MS321, MS421, MS521, MS621MSNGM.081.233MSNGM.081.234
M1242, M1246MSNGM.081.233MSNGM.081.234
B2338, B2442, B2546, B2650MSNGM.081.233MSNGM.081.234
MS622MSTGM.081.233MSTGM.081.234
M3250MSTGM.081.233MSTGM.081.234
MX321MXNGM.081.233MXNGM.081.234
MB2338MXNGM.081.233MXNGM.081.234
MX421, MX521, MX522, MX622MXTGM.081.233MXTGM.081.234
XM1242, XM1246, XM3250MXTGM.081.233MXTGM.081.234
MB2442. MB2546, MB2650MXTGM.081.233MXTGM.081.234
MS725, MS821, MS823, MS825MSNGW.081.233MSNGW.081.234
B2865MSNGW.081.233MSNGW.081.234
MS822, MS826MSTGW.081.233MSTGW.081.234
M5255, M5270MSTGW.081.233MSTGW.081.234
MX721, MX722, MX822, MX826MXTGW.081.233MXTGW.081.234
XM5365, XM7355, XM7370MXTGW.081.233MXTGW.081.234
MB2770MXTGW.081.233MXTGW.081.234
C3426CSLBN.081.233CSLBN.081.234
CS431, CS439CSLBN.081.233CSLBN.081.234
CS331CSLBL.081.233CSLBL.081.234
C3224, C3326CSLBL.081.233CSLBL.081.234
C2326CSLBN.081.233CSLBN.081.234
MC3426CXLBN.081.233CXLBN.081.234
CX431CXLBN.081.233CXLBN.081.234
XC2326CXLBN.081.233CXLBN.081.234
MC3426CXLBN.081.233CXLBN.081.234
MC3224, MC3326CXLBL.081.233CXLBL.081.234
CX331CXLBL.081.233CXLBL.081.234
CS622CSTZJ.081.233CSTZJ.081.234
C2240CSTZJ.081.233CSTZJ.081.234
CS421, CS521CSNZJ.081.233CSNZJ.081.234
C2325, C2425, C2535CSNZJ.081.233CSNZJ.081.234
CX522, CX622, CX625CXTZJ.081.233CXTZJ.081.234
XC2235, XC4240CXTZJ.081.233CXTZJ.081.234
MC2535, MC2640CXTZJ.081.233CXTZJ.081.234
CX421CXNZJ.081.233CXNZJ.081.234
MC2325, MC2425CXNZJ.081.233CXNZJ.081.234
CX820, CX825, CS827, CX860CXTPP.081.233CXTPP.081.234
XC6152, XC6153, XC8155,XC8160, XC8163CXTPP.081.233CXTPP.081.234
CS820, CS827CSTPP.081.233CSTPP.081.234
C6160CSTPP.081.233CSTPP.081.234
CS720, CS725, CS727, CS728CSTAT.081.233CSTAT.081.234
C4150CSTAT.081.233CSTAT.081.234
CX725, CX727CXTAT.081.233CXTAT.081.234
XC4140, XC4143, XC4150, XC4153CXTAT.081.233CXTAT.081.234
CS921, CS923, CS927CSTMH.081.233CSTMH.081.234
C9235CSTMH.081.233CSTMH.081.234
CX920, CX921, CX922, CX923, CX924CXTMH.081.233CXTMH.081.234
XC9225, XC9235, XC9245, XC9255, XC9265CXTMH.081.233CXTMH.081.234
Copyright Druckerchannel.de
27.01.23 09:28 (letzte Änderung)

1 Wertungen

 
1

Offenlegung - Provisionslinks

Wir erhalten bei einer Vermittlung zum Kauf oder direkt beim Klick eine Provision vom Anbieter.

Alle Preise enthalten die derzeit gültige MwSt. und verstehen sich zzgl. Versandkosten. Der Preis sowie die Verfügbarkeit können sich mittlerweile geändert haben. Weiß hinterlegte Preise gelten für ein baugleiches Gerät. Alle Angaben ohne Gewähr.

Forum Aktuell
10:20
10:10
09:58
09:52
09:46
25.3.
25.3.
Artikel
22.03. Roland DG: Brother bietet für Großformat-​ und Industriedruckerhersteller
21.03. HP Instant Ink Platinum (Spanien): Weiteres Abo mit Druckermiete wird pilotiert
20.03. IDC Marktzahlen Q4/2023: Weltweite Druckerauslieferung schwach, lediglich Brother und Epson steigern Marktanteile
11.03. Epson Printer-​Cashback 2024: Bis zu 50 Euro beim Kauf eines Epson-​Tintendruckers zurückerhalten
09.03. HP Color Laserjet Pro 3202-​ und MFP 3302-​Serie: Neue Einstiegs-​Farblaser von HP in Sicht
08.03. Quo vadis Canon Pixma?: Günstigster "Single Ink"-​Multifunktionsdrucker TS6350a abgekündigt
07.03. Canon Pixma TR7650: Da issa ja wieder! Fotodrucker mit Fax und ADF neu aufgelegt
02.03. HP All-​In Plan (USA): Ein Leihdrucker zum "Instant Ink"-​Abo
27.02. HP Officejet und Laserjet: Probleme mit "Scan-​to-​Email" bei HP-​Druckern über Strato-​Mail
23.02. HP Laserjet, Pagewide und Scanjet: Schwachstelle bei Druckern und Scannern mit "FutureSmart"-​Firmware sowie der neuen 4202/4302-​Serie
19.02. Brother DCP-​C1210N "Picocharge": Tintendrucker mit Vorausbezahlung der Seiten
15.02. HP Officejet Pro 9730e und 9720e: Erste A3-​Bürotintendrucker von HP mit Abo-​Option
Themen des Tages
Beliebte Drucker
ab 599,00 €1 Canon Maxify GX7050

Multifunktionsdrucker (Pigmenttinte)

ab 333,33 €1 Epson Ecotank ET-4850

Multifunktionsdrucker (Tinte)

ab 146,59 €1 Kyocera MA2001w

S/W-Multifunktionsdrucker (Laser/LED)

ab 164,90 €1 Canon Maxify MB5150

Multifunktionsdrucker (Pigmenttinte)

ab 739,99 €1 Epson Ecotank ET-5850

Multifunktionsdrucker (Pigmenttinte)

ab 385,49 €1 Canon Maxify GX4050

Multifunktionsdrucker (Pigmenttinte)

ab 73,90 €1 Epson Expression Home XP-3200

Multifunktionsdrucker (Tinte)

ab 266,56 €1 Canon Maxify GX3050

Multifunktionsdrucker (Pigmenttinte)

ab 265,99 €1 Brother MFC-J5740DW

Multifunktionsdrucker, A3 (Pigmenttinte)

ab 189,90 €1 HP Officejet Pro 9022e

Multifunktionsdrucker (Pigmenttinte)

Merkliste

×
Drucker vergleichen