Araştırmacı, güvenlik açığını ‘fındık için’ satmak yerine sıfır gün Lexmark RCE’yi bıraktı


Yazıcı istismar zinciri, 100’den fazla modelden tamamen ödün vermek için silah haline getirilebilir

Araştırmacı, 'yer fıstığı için satmak' yerine Lexmark RCE sıfır günlük güvenlik açığını bıraktı

Bir güvenlik araştırmacısı, kendisine sunulan açıklama ödülünün “gülünç” olduğunu iddia ettikten sonra, Lexmark yazıcılarını etkileyen sıfır günlük uzaktan kod yürütme (RCE) güvenlik açıkları zincirini kaldırdı.

Bağımsız araştırmacı Peter Geissler (@bl4sty), yayınlandığı sırada sıfır günlük bir kusur olan ancak şimdi yamalanan hatanın kamuya açıklanmasının, raporun “fındık karşılığında” satılmasına tercih edildiğini söyledi.

İçinde cıvıldamak 10 Ocak tarihli Geissler, güvenlik açığı zinciri hakkında bilgi içeren bir GitHub deposuna bağlantı yayınladı.

Açıklardan yararlanma CXLBL.081.225 ürün yazılımı sürümüne karşı test edildi ve Zero Day Initiative (ZDI) tarafından yürütülen Pwn2Own Toronto 2022’ye girilirken gösteriler sırasında saldırı başarısız oldu.

‘Görünüşte zararsız’ işlevler

Bununla birlikte, araştırmacının yazdıklarına göre, birkaç izole edilmiş veya “görünüşte zararsız” işlev, “sonunda cihazı tamamen tehlikeye atmak” için kullanılabilir.

Bu işlevler, dosya yükleme ve dosya kopyalama ilkellerinin yanı sıra, sunucu tarafı istek sahteciliğine (SSRF) neden olacak şekilde saldırganın seçtiği son noktaya bir HTTP geri araması yapmak için kötüye kullanılabilen SOAP web hizmetleriyle ilgili bir arka plan programı içeriyordu.

KAÇIRMAYIN Serileştirilmiş özet: “Yıkıcı siber olaylar” ve T-Mobile, LastPass sorunları

Geissler, “Geri aramalar yapılırken, yazılım geri aramaların hedefinde herhangi bir akıl sağlığı kontrolü yapmaz, bu nedenle yazıcının kendisi de dahil olmak üzere rastgele ana bilgisayarlara geri aramalar göndermek mümkündür,” diye açıkladı Geissler.

Ayrıca, /auto-fwdebugd adlı bir işlem, ilk giren ilk çıkar sisteminden gelen girdilerin sterilize edilmemesi nedeniyle kullanılabilir ve komut enjeksiyon hatasına neden olabilir.

Yukarıdakileri zincirleyerek, RCE’ye ulaşmak mümkün oldu.

Yama mevcut

23 Ocak’ta yayınlanan bir güvenlik danışma belgesinde Lexmark, CVE-2023-23560 (CVSSv3 9.0) olarak izlenen ve tek bir CVE ataması altında yayınlanan sorunun 100’den fazla modeli etkilediğini ancak artık yama yapıldığını söyledi.

Şirket, vahşi doğada kötü niyetli kullanıma dair bir kanıt olmadığını söyledi. Yorum yapması için kendisine yaklaşıldığında, Lexmark şunları söyledi: “Lexmark, bu güvenlik açığının ayrıntılarından kamuya açıklandığında haberdar oldu. Müşterilerimize bir yama sağladık.

“Bir Lexmark ürününü etkileyebilecek bir güvenlik açığı tespit eden herkesin bunu Lexmark Güvenlik Önerileri’ne bildirmesini öneririz. Bu güvenlik açığı yönetimi yaklaşımı, Lexmark’ın endüstri analistleri tarafından sürekli olarak baskı güvenliğinde lider olarak adlandırılmasının bir nedenidir.”

Geissler, potansiyel olarak test yazıcısındaki farklı yapılandırmalar nedeniyle, açıklardan yararlanma zincirinin rekabet sırasında tam olarak çalışmamasına rağmen, ZDI’nin güvenlik açıklarını satın almayı teklif ettiğini söylüyor. Ancak miktar “gülünçtü” ve Geissler “tekliflerini hemen unuttu”.

En son web güvenlik açıkları hakkında daha fazla haber okuyun

Ile konuşmak günlük yudumGeissler, ZDI tarafından sunulan miktarın orijinal ödülün “küçük bir kısmı” olduğunu, çünkü yarışma sırasında başka birinin yazıcıyı farklı bir hata zinciriyle başarılı bir şekilde hedeflediğini açıkladı.

Bulgularını yayınlamak için bir ödeme almanın ötesindeki motivasyonu sorulduğunda, Geissler yorum yaptı: “Onlara satış yaparsanız, hatalar tarafından düzeltilene kadar hiçbir şey yayınlayamazsınız. [the] satıcı, afaik [as far as I know] yayın için tek gerçek (makul) kısıtlama budur.”

ifşa

Araştırmacıya göre, Lexmark’a sıfır gün sürümünden önce iki nedenden dolayı bildirim yapılmadı.

İlk olarak Geissler, Pwn2Own yarışmasının bazı açılardan nasıl “kırıldığını” vurgulamak istedi, örneğin 100’den fazla yazıcı modelini tehlikeye atabilecek bir istismar zinciri gibi “potansiyel olarak büyük etkisi olan bir şey” için düşük parasal ödüller sunulduğunda görüldüğü gibi.

Ayrıca, resmi açıklama süreçlerinin genellikle uzun soluklu ve zahmetli olduğunu söyledi.

Geissler, “Tecrübelerime göre, tedarikçinin yama uygulama çabaları, anahtar teslimi çözümlerin kamu malı olarak herhangi bir uyarı olmaksızın yayınlanmasıyla büyük ölçüde hızlanıyor,” dedi.

“Lexmark, gelecekte benzer yarışmalarla ortaklık kurmayı yeniden düşünebilir ve kendi güvenlik açığı ödül/ödül programını başlatmayı seçebilir.”

ŞUNLAR DA HOŞUNUZA GİDEBİLİR Facebook iki faktörlü kimlik doğrulama atlama hatası araştırmacılara 27 bin dolar kazandırdı





Source link