研究员公开Lexmark RCE零日漏洞链拒以“低价”出售

Charlie Osborne
2023年2月1日 12:18 UTC
更新：2023年2月17日 13:10 UTC

一名安全研究员在声称所获漏洞披露奖励“低得可笑”后，公开了影响Lexmark打印机的零日远程代码执行（RCE）漏洞链。

独立研究员Peter Geissler（@bl4sty）表示，公开披露该漏洞（发布时为零日漏洞，现已被修补）比“以低价出售”报告更可取。在1月10日的一条推文中，Geissler发布了一个GitHub仓库链接，其中包含有关该漏洞链的信息。

该漏洞利用针对固件版本CXLBL.081.225进行了测试，并在2022年多伦多Pwn2Own比赛（由Zero Day Initiative（ZDI）运营）中提交，但在演示期间未成功。

“看似无害”的功能

然而，根据研究员的报告，几个孤立或“看似无害”的功能可以被利用来“最终完全破坏设备”。

这些功能包括文件上传和文件复制原语，以及一个与SOAP Web服务相关的守护进程，该进程可被滥用以向攻击者选择的端点发起HTTP回调，导致服务器端请求伪造（SSRF）。

“当进行回调时，软件不会对回调目的地进行任何健全性检查，因此可以将回调发送到任意主机，包括打印机本身，”Geissler解释道。

此外，一个名为/auto-fwdebugd的进程由于未能清理来自先进先出系统的输入而被利用，导致命令注入漏洞。

通过链式利用上述漏洞，可以实现RCE。

在1月23日发布的安全公告中，Lexmark表示，该问题被追踪为CVE-2023-23560（CVSSv3 9.0），并作为一个CVE分配发布，影响了100多款型号，但现已被修补。

该公司表示，没有证据表明该漏洞在野外被恶意利用。Lexmark在回应评论时表示：“Lexmark在公开披露时意识到了该漏洞的细节。我们已向客户提供了补丁。”

“我们鼓励任何发现可能影响Lexmark产品的漏洞的人向Lexmark安全公告报告。这种漏洞管理方法是Lexmark一直被行业分析师评为打印安全领导者的原因之一。”

Geissler表示，尽管漏洞链在比赛中未完全发挥作用（可能是由于测试打印机的配置不同），但ZDI确实提出购买这些安全漏洞。然而，金额“低得可笑”，Geissler“很快就忘记了他们的提议”。

Geissler向The Daily Swig解释说，ZDI提供的金额是原始奖励的“一小部分”，因为比赛中其他人成功利用不同的漏洞链攻击了打印机。

当被问及除了获得报酬外发布发现的动机时，Geissler评论道：“如果你卖给他们，在厂商修复漏洞之前你不能发布任何内容，据我所知，这是发布的唯一真正（合理）限制。”

根据研究员的说法，Lexmark在零日漏洞发布前未被通知，原因有二。

首先，Geissler希望强调Pwn2Own比赛在某些方面是“破碎的”，正如对“具有潜在重大影响的东西”（如可以破坏100多款打印机型号的漏洞链）提供低货币奖励所示。

此外，他表示官方披露过程通常冗长且艰巨。

“根据我的经验，通过在公共领域发布交钥匙解决方案而无需任何提前通知，厂商的修补工作大大加速，”Geissler指出。

“Lexmark可能会重新考虑未来与类似比赛的合作，并选择启动自己的漏洞赏金/奖励计划。”