Lexmark warnt vor Drucker-Schwachstelle
Solltet ihr einen Lexmark-Drucker im Einsatz haben, dann solltet ihr einmal schauen, dass ihr da die aktuelle Firmware installiert habt. Lexmark hat über Schwachstellen informiert, die eine Vielzahl der Drucker des Unternehmens betrifft.
Lexmark ist nicht bekannt, dass die beschriebene Sicherheitslücke (gelistet unter CVE-2023-23560) in böswilliger Weise gegen Lexmark-Produkte eingesetzt wird, aber ein Proof-of-Concept-Code wurde öffentlich veröffentlicht.
Eine Server-Side Request Forgery (SSRF) Schwachstelle wurde in der Web-Services-Funktion neuerer Lexmark-Geräte festgestellt. Diese Schwachstelle kann von einem Angreifer ausgenutzt werden, um beliebigem Code auf dem Gerät auszuführen.
Derweil kann zur Abschwächung auch ein Workaround durchgeführt werden. Durch die Deaktivierung des Web-Services-Dienstes auf dem Drucker (TCP-Port 65002) wird die Möglichkeit zur Ausnutzung dieser Sicherheitslücke blockiert. Der Port kann wie folgt blockiert werden:
»Einstellungen«->“Netzwerk/Anschlüsse“- > »TCP/IP“- >
»TCP/IP Port Access«, dann »TCP 65002 ( WSD Print Service )« deaktivieren und speichern.
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | Brother HL-L2400DW, Laserdrucker, 4 Monate EcoPro inkl., 30 ppm, automatischer Duplexdruck,... | 116,90 EUR | Bei Amazon ansehen | |
2 | Brother HL-L2400DWE Laserdrucker 1200 x 1200 DPI A4 WLAN | 115,37 EUR | Bei Amazon ansehen | |
3 | Brother MFC-L2800DW Laser einfarbig | 194,41 EUR | Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Ich habe leider auch einen Lexmark. Er war zwar nicht teuer, trotzdem mein letztes Gerät dieser „Marke“.
Einige Zeit nach dem Einschalten, stürzt die Firmware ab und das Gerät muss komplett neu gestartet werden. Den Support hat es nicht interessiert.
Gutes Beispiel ist die hier aufgeführte neue Firmware – diese steht für mein Gerät nicht mal zum download bereit, sondern nur eine alte Firmware.
Hat denn Dein Drucker überhaupt einen WSD-Printservice. Meiner hat es nicht und daher ist auch keine neue Firmware notwendig.
Ansonsten kann ich mich bei Lexmark nicht beschweren. Mein Drucker arbeitet zuverlässig und die FW-Updates sind so zahlreich, dass ich kaum hinterher komme. Auch Treiber&Co. werden seit Jahren gepflegt.
Einzig das es keinen Toner von Drittanbietern für mein Modell gibt, ist aus meiner Sicht ein großes Manko.
Und als Zugabe für die neue Firmware akzeptiert der Drucker dann keine Fremdtoner mehr.Ganz schön clever von Lexmark.
»die hier aufgeführte neue Firmware – diese steht für mein Gerät nicht mal zum download bereit«
Das verstehe ich nicht ganz. Für jedes »Affected Product« sind in dem Dokument von Lexmark »Fixed Releases« aufgeführt.
Um welches Druckermodell handelt es sich bei dir?
Ich bin mit meinem alten Lexmark-Drucker (X850e) sehr zufrieden. Gebraucht günstig erstanden. Für den Privatgebrauch sicher etwas überdimensioniert, aber unschlagbares Tempo und niedriger Seitenpreis. A3-Scanner mit Dupex-ADF ist auch integriert.
Ja, im Supportdokument steht zwar, dass es eine Lösung gibt. Trotzdem sind die zum Download stehenden FW Updates aus 11/22… (Meine Brot und Butter Maschinen MS621,CX521,CX725,CX921,…)
Das war beim letzten Lexmark Securitythema vor einigen Monaten schon exakt genauso. Die fixed Firmwares waren zwar gelistet, aber nirgends downloadbar. Ich bekam sie seinerzeit erst umständlich über den Support.
Deren Abteilung für Security Incidences ist offenbar deckungsgleich mit der Putzkolonne…
Ich habe ein Lexmark MB2236 (https://support.lexmark.com/de_de/drivers-downloads.html?q=Lexmark%20MB2236). Stand jetzt ist die Firmware 081.225 verfügbar. Auch auf der englischen Webseite.
Im Dokument wird das Gerät aufgeführt.
Typisch Lexmark.
japp, same here! Bei v81.225 ist Sense 🙁