Xerox a corrigé une vulnérabilité dans son micrologiciel qui a créé un moyen pour les utilisateurs non authentifiés de «briquer à distance» certains modèles de ses imprimantes réseau.
La vulnérabilité (CVE-2022-23968) affecte principalement les périphériques Xerox VersaLink et offre un mécanisme permettant aux attaquants de planter et de rendre temporairement inutilisable une imprimante ciblée à l’aide d’un fichier TIFF construit de manière malveillante et d’une requête HTTP POST non authentifiée.
Le problème a été découvert par le chercheur en sécurité Mahmoud Al-Qudsi lors du développement d’un démon de numérisation en un clic en septembre 2019.
Al-Qudsi a alerté Xerox en septembre 2019 et a poursuivi le fournisseur pour une mise à jour en janvier 2020, apprenant que la faille de sécurité avait été confirmée comme valide mais toujours non résolue.
Ce n’est que ce mois-ci, janvier 2022, qu’un CVE a été publié et des correctifs publiés, quelques jours après qu’Al-Qudsi a rendu public les détails de la vulnérabilité et suggéré des solutions de contournement dans un article de blog technique.
La vulnérabilité est particulièrement désagréable car elle peut être utilisée pour planter un appareil de telle sorte que les problèmes persistent au-delà d’un simple redémarrage.
« La cause première est la panique du périphérique/noyau due à un mauvais analyseur TIFF, mais la cause réelle est une conception/architecture vraiment médiocre », a déclaré Al-Qudsi. La gorgée quotidienne.
« Si la gestion d’un seul travail plante, cela fait tout tomber. Les travaux sont ajoutés à la file d’attente avant d’être entièrement analysés et validés… Les mauvais travaux persistent après un redémarrage.
À la recherche de mises à jour
Le bogue a mis plusieurs mois à être résolu grâce à un processus de divulgation de vulnérabilité étendu.
Al-Qudsi critique la réponse tardive de Xerox qui, selon le chercheur, contraste avec sa politique officielle « vantant les avantages de la « divulgation responsable » et le vœu[ing] pour prendre les problèmes au sérieux, publier des correctifs rapidement et, surtout, tenir les chercheurs en sécurité constamment informés de tout développement au fur et à mesure qu’il se produit ».
« Ils ont été très rapides à répondre à mes exigences initiales pour leur divulguer le bogue, mais après cela, ils ne m’ont jamais contacté et j’ai dû les embêter pour les mises à jour », a déclaré Al-Qudsi. La gorgée quotidienne.
En réponse aux questions de La gorgée quotidienneXerox a proposé une déclaration faisant référence aux mises à jour de sécurité à résoudre et un bulletin de sécurité associé, publié jeudi 27 janvier :
Nous nous engageons à respecter des normes de sécurité strictes et prenons cette responsabilité au sérieux. Xerox a été informé d’une vulnérabilité potentielle affectant les anciennes versions du micrologiciel de certains produits. Pour plus d’informations à ce sujet, veuillez consulter Bulletin de sécurité Xerox XRX22-002 [pdf].
La réponse du fournisseur a omis toute explication sur la raison pour laquelle il a fallu plus de deux ans pour résoudre la vulnérabilité.
Derrière le bogue
La vulnérabilité de l’imprimante Xerox est d’un type qui pourrait être déclenché sur le Web, peut-être en utilisant un exploit de sécurité CSRF (cross-site request forgery).
Incidemment, c’est le genre d’attaque qu’une fonctionnalité récemment introduite pour le navigateur Chrome est censée empêcher.
