打印机企业Lexmark本周发布最新版固件,解决影响上百款机型,可能让黑客远程执行程序代码的高风险漏洞。
这项编号CVE-2023-23560漏洞发生在打印机固件的Web服务功能,属于服务器端请求伪造(server-side request forgery,SSRF)漏洞,成功的攻击可能让黑客从远程执行任意程序代码。本项漏洞CVSS 3.1风险值高达9.0。
针对这项漏洞的攻击发生在打印机上,行为可能包括访问打印任务、取得打印机网络的访问凭证,再借机攻击同一网段的其他联网设备。
Lexmark也列出了受影响的机型,包括:CX、XC、MX、MB、C、MS等上百款。厂商表示目前尚未发现有产品漏洞遭到滥用的情形,但是概念验证攻击程序代码已经有人公布于网络上。
Lexmark已发布相应的最新版固件,呼吁用户尽快安装。无法立即更新者则可先关闭打印机(TCP port 65002)的Web Services服务,以暂时缓解攻击风险。路径为“设置”“网络/连接端口”>“TCP/IP”“TCP/IP连接端口访问”,取消勾选TCP 65002。