Джон Лейден (John Leyden)
В компании Xerox в конце концов устранили уязвимость во встроенном ПО компании, которая создавала возможности для неавторизованных пользователей «удалённо превращать в бесполезные кирпичи» некоторые модели сетевых принтеров Xerox. Эта уязвимость (CVE-2022-23968) в основном имела место в устройствах Xerox VersaLink, она предоставляла хакерам механизм для поражения и временного выведения из строя печатающих устройств Xerox VersaLink с использованием вредоносного TIFF-файла и неавторизованного запроса HTTP POST.
Эта проблема была выявлена исследователем в области безопасности Махмудом Аль-Кудси (Mahmoud Al-Qudsi) при разработке приложения для сканирования на печать в одно нажатия еще в сентябре 2019 года. Аль-Кудси предупредил Xerox об обнаруженной уязвимости в сентябре 2019 года, и настаивал на том, чтобы Xerox выпустил обновление с устранением уязвимости. В январе 2020 года Аль-Кудси узнал, что пробел в безопасности печатающих устройств Xerox VersaLink был признан компанией действительным, но так и не был разрешен. Только в этом месяце, в январе 2022 года, наконец-то было опубликовано сообщение о распространённой уязвимости и выпущены патчи для ее устранения. И произошло это спустя несколько дней после того, как Аль-Кудси вынес на публику детали уязвимости и предложил обходные решения в своём техническом блог-посте.
Указанная уязвимость особенно неприятна тем, что она может использоваться для вывода из строя устройств Xerox так, что проблемы c печатающими устройствами останутся даже после обычной перезагрузки. «Если разбираться с отказами отдельных заданий на печать, то все они и «полетят». Задания добавляются в очередь прежде, чем они пройдут полную проверку и подтверждения… Поврежденные задания останутся в очереди и после перезагрузки» — сообщил Аль-Кудси в интервью The Daily Swig.
На устранение обнаруженного изъяна в ПО Xerox ушло много месяцев, оно шло путём расширенного процесса выявления уязвимости. Господин Аль-Кудси критично отнёсся к запоздалому ответу Xerox, который, как отметил исследователь, контрастирует с официальной политикой компании «использования преимуществ «сознательного выявления» и обязательств в плане серьёзного отношения, быстрого исправления проблем, а среди прочего — постоянного извещения исследователей о любых новых подвижках по мере появления проблем».
«Они очень быстро отреагировали на мои изначальные запросы по сообщению им о баге, но после этого они так со мной и не связались, и обновления приходилось из них вытрясать», — сообщил Аль-Кудси в интервью The Daily Swig. В ответ на запросы от The Daily Swig в компании Xerox предложили сообщение с отсылкой на обновления безопасности для решения этой проблемы и соответствующий бюллетень по безопасности, опубликованный в четверг (27 января 2022 гда): «Мы стремимся поддерживать крепкие стандарты безопасности и относимся к этой задаче со всей серьёзностью. Компания Xerox была уведомлена о потенциальной уязвимости, влияющей на старые версии встроенного ПО для определённых печатающих устройств. Чтобы получить больше информации по данному вопросу, пожалуйста, обратитесь к Бюллетеню по безопасности Xerox XRX22-002 [pdf].
В ответе вендора отсутствует какая-либо информация, почему на устранение уязвимости ушло более двух лет.
Подробности: https://sforp.ru/news/_novosti_industrii/54.htm#1335
