研究员公开Lexmark RCE零日漏洞链而非“低价”出售

Charlie Osborne
2023年2月1日 12:18 UTC
更新：2023年2月17日 13:10 UTC

标签：漏洞赏金、漏洞、零日漏洞

一位安全研究员公开了影响Lexmark打印机的零日远程代码执行（RCE）漏洞链，称所提供的漏洞披露奖励“低得可笑”。

独立研究员Peter Geissler（@bl4sty）表示，公开披露该漏洞（发布时是零日漏洞，现已被修补）比“低价”出售报告更可取。在1月10日的一条推文中，Geissler发布了一个GitHub存储库链接，其中包含有关漏洞链的信息。

该漏洞利用针对固件版本CXLBL.081.225进行了测试，并在2022年Pwn2Own Toronto（由Zero Day Initiative（ZDI）运营）中提交，但在演示期间攻击未成功。

“看似无害”的功能

根据研究员的报告，几个孤立或“看似无害”的功能可能被利用以“最终完全控制设备”。这些功能包括文件上传和文件复制原语，以及一个与SOAP Web服务相关的守护进程，该进程可能被滥用以向攻击者选择的端点发出HTTP回调，从而导致服务器端请求伪造（SSRF）。

“当进行回调时，软件不会对回调目标进行任何健全性检查，因此可以将回调发送到任意主机，包括打印机本身，”Geissler解释道。

此外，由于未能清理来自先进先出系统的输入，一个名为/auto-fwdebugd的进程可能被利用，导致命令注入漏洞。通过链式利用上述漏洞，可以实现RCE。

可用补丁

在1月23日发布的安全公告中，Lexmark表示，该问题被追踪为CVE-2023-23560（CVSSv3 9.0），并通过一个CVE分配发布，影响了100多款型号，但现已被修补。该公司表示，没有证据表明在野外被恶意利用。

当被要求评论时，Lexmark表示：“Lexmark在公开披露时意识到了此漏洞的细节。我们已向客户提供了补丁。我们鼓励任何发现可能影响Lexmark产品的漏洞的人向Lexmark安全公告报告。这种漏洞管理方法是Lexmark一直被行业分析师评为打印安全领导者的原因之一。”

Geissler表示，尽管漏洞链在比赛中没有完全发挥作用（可能是由于测试打印机的配置不同），但ZDI确实提出购买安全漏洞。然而，金额“低得可笑”，Geissler“很快就忘记了他们的提议”。

Geissler向The Daily Swig解释说，ZDI提供的金额是原始奖励的“一小部分”，因为比赛期间其他人成功利用不同的漏洞链攻击了打印机。当被问及除了获得报酬外发布发现的动机时，Geissler评论道：“如果你卖给他们，在供应商修复漏洞之前你不能发布任何内容，据我所知，这是发布的唯一真正（合理）限制。”

披露

根据研究员的说法，Lexmark在零日漏洞发布前未收到通知，原因有二。首先，Geissler希望强调Pwn2Own比赛在某些方面是“破碎的”，正如对“具有潜在重大影响的东西”（如可以危害100多款打印机型号的漏洞链）提供低金钱奖励所示。此外，他表示官方披露过程通常冗长而艰巨。

“根据我的经验，通过在公共领域发布交钥匙解决方案而没有任何提前通知，供应商的修补工作大大加速，”Geissler指出。“Lexmark可能会重新考虑未来与类似比赛的合作，并选择启动自己的漏洞赏金/奖励计划。”

您可能还喜欢：Facebook双因素认证绕过漏洞为研究人员赚取27,000美元

标签：漏洞赏金、漏洞、零日漏洞、黑客技术、RCE、硬件、行业新闻、网络安全、SSRF、VDP、组织、企业、核心

作者：Charlie Osborne
Twitter：@SecurityCharlie