施乐悄悄修复影响某些打印机中的严重缺陷

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

施乐 (Xerox) 修复了某些早在一年半前就已经在某些打印机机型中找到的一个严重漏洞，不过直到本周研究员公开该漏洞才被知晓。

该漏洞的编号为 CVE-2022-23968，由NeoSmart Technologies 公司的研究员 Mahmoud AI-Qudsi 在2019年9月告知施乐。2020年1月打印机操作无法完成拒绝访问，施乐公司证实称该漏洞影响至少一批打印机机型，但在此后两年多的时间里并无任何更多详细信息。

漏洞简述

该严重漏洞可触发拒绝服务条件，使打印机要求重启，使易受攻击设备部分变砖打印机操作无法完成拒绝访问，但重启后又会遇到这个错误，陷入循环。Al-Qudsi 解释称，攻击者可使用特殊构造的内含不完整镜像目录payload的多页TIFF文件触发该漏洞。由于打印机检查文档并从中识别可完成打印操作的资源，因此打印机固件中的 TIFF 句柄将无法在TIFF 文档中解析不完整的镜像目录，从而挂起打印任务。

Al-Qudsi 表示，“打印机固件出现慌乱情况，向用户展示报文显示出现异常错误，需要硬重启才能恢复正常工作。”重启后，打印机试图恢复打印任务并出现同样问题。用户无法通过断电方式打破循环（这样做无法从设备内存清理打印任务）。

此外，重启且出现错误之前，用户无法访问打印队列管理接口，而在错误出现后也无法访问，因此“无法通过打印机队列的任何可用用户接口打破这个死循环。”

Al-Qudsi 表示，可通过发布网络固件更新进程的方式打破该拒绝服务循环，因为这样做将清楚任务队列。通过物理访问手动清除设备商的存储模块应当也可以解决该问题。

利用该漏洞无需任何特殊权限，不管是否具有对打印机的本地访问权限、是否通过互联网提供特殊构造的TIFF文档。Al-Qudsi 指出，“设备的web 接口暴露不受任何保护的HTTP(S) POST 接口，由于响应可能会被随意丢弃，因此跨站点来源缓解措施无用。只需设备名称或目标网络的IP地址即可——但甚至这些都不需要，理由是端点URL使固定的而IPv4默认启用，因此可通过 JavaScript 发现这些消息，从而限制了可能的搜索空间。”

缓解措施

要缓解该漏洞，可将打印机设置为拒绝源自所有未认证用户的输入。研究员在运行固件版本 xx.42.01和xx.54.61的 Xerox VersLink 打印机上测试了该漏洞。

本周初，Al-Qudsi 公开该漏洞后，施乐回应称，“我们一直秉持强健的安全标准并认真履行责任。施乐发现一个潜在漏洞，影响某些产品的老旧固件版本。”该厂商还宣布称为该严重漏洞发布安全公告，证实称多个 VersaLink 系列机型、两个 WorkCentre 和 Phaser 机型受影响。厂商发布固件版本 xx.61.23，在2020年6月解决了改漏洞。施乐还证实称Al-Qudsi 报告了该漏洞并鼓励客户尽快安装已更新的固件版本。