Researcher drops Lexmark RCE zero-day rather than sell vuln ‘for peanuts’

Charlie Osborne
2023年2月1日 12:18 UTC
更新：2023年2月17日 13:10 UTC

Bug Bounty | Vulnerabilities | Zero-day

打印机漏洞链可被武器化，完全攻陷超过100款型号

一名安全研究员在声称所提供的漏洞披露奖励“低得可笑”后，公开了一个影响Lexmark打印机的零日远程代码执行（RCE）漏洞链。

独立研究员Peter Geissler（@bl4sty）表示，公开披露该漏洞（发布时是零日漏洞，现已被修补）比将报告“低价出售”更可取。

在1月10日的一条推文中，Geissler发布了一个GitHub仓库的链接，其中包含有关该漏洞链的信息。

该漏洞利用针对固件版本CXLBL.081.225进行了测试，虽然在2022年Pwn2Own Toronto（由Zero Day Initiative（ZDI）运营）中提交，但在演示期间攻击未成功。

“看似无害”的功能

然而，根据研究员的报告，几个孤立或“看似无害”的功能可以被利用来“最终完全攻陷设备”。

这些功能包括文件上传和文件复制原语，以及一个与SOAP Web服务相关的守护进程，该进程可被滥用以向攻击者选择的端点进行HTTP回调，导致服务器端请求伪造（SSRF）。

“当进行回调时，软件不会对回调的目的地进行任何健全性检查，因此可以将回调发送到任意主机，包括打印机本身，”Geissler解释道。

此外，一个名为/auto-fwdebugd的进程由于未能清理来自先进先出系统的输入而被利用，导致命令注入漏洞。

通过链式利用上述漏洞，可以实现RCE。

补丁可用

在1月23日发布的安全公告中，Lexmark表示，该问题被追踪为CVE-2023-23560（CVSSv3 9.0），并在一个CVE分配下发布，影响了超过100款型号，但现已被修补。

该公司表示，没有证据表明在野外被恶意利用。当被要求评论时，Lexmark表示：“Lexmark在公开披露时意识到了该漏洞的细节。我们已经向客户提供了补丁。”

“我们鼓励任何发现可能影响Lexmark产品的漏洞的人向Lexmark安全公告报告。这种漏洞管理方法是Lexmark一直被行业分析师评为打印安全领导者的原因之一。”

Geissler表示，虽然漏洞链在比赛中没有完全发挥作用——可能是由于测试打印机的配置不同——但ZDI确实提出购买这些安全漏洞。然而，金额“低得可笑”，Geissler“很快就忘记了他们的提议”。

披露

根据研究员的说法，Lexmark在零日漏洞发布前未被通知，原因有二。

首先，Geissler希望强调Pwn2Own比赛在某些方面是“破碎的”，正如当为“具有潜在重大影响的东西”（如可以攻陷100多款打印机型号的漏洞链）提供低额奖金时所显示的那样。

此外，他表示官方披露过程通常冗长而艰巨。

“根据我的经验，通过公开发布交钥匙解决方案而没有任何提前通知，供应商的修补工作大大加速，”Geissler指出。

“Lexmark可能会重新考虑未来与类似比赛的合作，并选择启动自己的漏洞赏金/奖励计划。”

您可能还喜欢
Facebook双因素认证绕过漏洞为研究人员赚取2.7万美元