耗时27个月,施乐终于披露可导致打印机停摆的安全漏洞

将近两年半前,施乐(Xerox)接获NeoSmart Technologies安全人员通报,发现商务多功能事务机存在一个可能导致阻断攻击(DoS)漏洞,此弱点若遭滥用,将造成打印机无法作业,但直到1月底才被披露。

这个编号为CVE-2022-23968的漏洞,位于施乐(Xerox)VersaLink商务型多功能事务机(Multi-Function Printer,MFP)系列的固件,而且是用于接收打印网络调用的网页精灵。

根据研究人员Mahmoud Al-Qudsi的说明,施乐这款打印机在接收打印指令后会打开文件查看内容,并决定打印任务需要的资源(纸张类型、页数等)。网页精灵在处理TIFF文件时,会在TIFF容器中将文件当成图片文件来解析。而受到CVE-2022-23968漏洞的影响之下,TIFF容器无法解析图片目录,打印机固件会显示遇见不预期错误的消息,并试图重开机,然而,一旦重开机过程结束,又引发图片解析的处理。更糟的是,由于打印工作仍然存放在内存队列中,即使打印机拔掉电源、重新启动,问题仍然无法排除。

基于上述状况,远程攻击者可在HTTP POST调用中发送恶意的TIFF档,造成该系打打印机发生服务阻断的情形,无法运行。此外,攻击者也可以通过内部网络或USBU盘发送恶意文件,来达到攻击目的。

这漏洞最初于2019年9月发现并通报施乐,影响的产品是VersaLink固件xx.42.01到xx.50.61版。同年10月,施乐证实这项漏洞,但一直没有修补好。而且,2020年1月,该公司确认最新版固件升级并未包含这项修正,使得此弱点处于未修补状态。等到2022年1月28日,施乐才发布第2次安全公告,表明xx.61.23以后版本的固件已修补这项漏洞(xx.61.23版为2020年6月推出)。

究竟有多少款打印机受此漏洞影响?Mahmoud Al-Qudsi表示,首先是Versalink商用打印机,包括B400、B405、B600、B605、B615、B70xx、C400、C405、C500、C505、C600、C605、C7000、C70xx、C8000和C9000,还有彩色激光打印机Phaser 6510、多合一产品WorkCentre 6515与其他型号机型。

若个人或企业目前设置了上述打印设备,且未能升级到最新版固件者,应立即关闭联网,以及USBU盘访问打印机的非授权用户权限,才能缓解风险。