Impresoras Lexmark con fallos de seguridad: los hackers pueden ejecutar código de forma remota

27 de enero de 2023 DAVID IBARRA

Lexmark recomienda a los usuarios a instalar una actualización de firmware que corrige una vulnerabilidad de ejecución remota de código (RCE) que podría explotarse de forma remota.

Cien impresoras Lexmark tienen una vulnerabilidad de seguridad grave (calificada con 9 sobre 10 en términos de criticidad) que podría permitir que un atacante ejecute código de forma remota.

La vulnerabilidad tiene el identificador CVE-2023-23560, se trata de una brecha de seguridad inherente al firmware de las impresoras: si es explotada, puede permitir el acceso a trabajos de impresión, permitir la extracción de credenciales utilizadas para el acceso a la red y permitir acceso a otros dispositivos conectados a la misma LAN.

Desde un punto de vista puramente técnico, la vulnerabilidad es del tipo SSRF (server-side request forgery) y se encuentra en los Servicios Web utilizados de cada impresora Lexmark.

Si bien el problema aún no se ha utilizado para ataques reales pero es muy probable que la falla de seguridad pronto podría usarse para lanzar nuevos ataques.

Lexmark recomienda a todos los usuarios a consultar la lista de impresoras vulnerables y actualizar el firmware con el parche.

En general, todas las versiones de firmware 081.233 y anteriores son vulnerables, mientras que las versiones que contienen la corrección son 081.234 y posteriores.

Para verificar qué versión de firmware de Lexmark estás usando en tu impresora, accede a la configuración y luego verifica el número de versión en la sección Información del dispositivo.

Para aquellos que no puedan aplicar inmediatamente la actualización del firmware, Lexmark sugiere deshabilitar los servicios web que escuchan el puerto TCP 65002.

Hay que decir que un puerto como TCP 65002 normalmente no es accesible WAN y, por lo tanto, en la IP pública: el firewall y el NAT en el enrutador protegen contra ataques desde el exterior.

Sin embargo, el código que se ejecuta dentro de la LAN podría abrir el puerto en la IP pública (por ejemplo, a través de UPnP) o explotar directamente el fallo de seguridad.