Hardkódolt nyomtatók sérülékenysége
A Rapid7 biztonsági szakértője, Stephen Fewer, több mint egy évnyi koordinált munka eredményeként hozta nyilvánosságra azt a nyolc hibát, amelyekről 689 Brother, továbbá Fujifilm, Ricoh, Toshiba és Konica Minolta eszközök is érintettek, összesen 748 különböző modellben. A kritikus sebezhetőség, CVE‑2024‑51978, egy alapvető biztonsági hiányosságot céloz, ami szerint az adminisztrátori jelszó igen könnyen kitalálható a készülék sorozatszáma alapján, amely a gyártási folyamat során kerül beépítésre. Emiatt egy külső támadó harmadik fél hitelesítés nélküli hozzáférést szerezhet, ha ismeri vagy lekérdezi a sorozatszámot. A sorozatszám megszerzése több csatornán lehetséges, a HTTP/HTTPS/IPP protokollokon át, de ha ez nem elérhető, akkor SNMP vagy PJL alapú lekérdezéssel is hozzá lehet jutni.
Ezt a hibát tovább lehet láncolni a másik jelentős sebezhetőséggel (CVE‑2024‑51979), amely egy stack buffer overflow a HTTP/HTTPS/IPP interfészben. Együttes kihasználásuk révén a támadó hitelesítés nélkül képes távoli kódot futtatni az eszközön, kialakítva persistent backdoort vagy laterális mozgási kapukat a vállalati hálózatban. A további hibák között az eszközök összeomlását előidéző DoS támadások, SSRF‑szerű visszaélések (melyekkel belső hálózatra navigálhatnak), valamint LDAP/FTP jelszavak nyílt szöveges expozíciója szerepel.
A legsúlyosabb – az admin jelszó feltörésére alkalmas – hiba javítására a Brother egyedül a gyártási folyamat módosítását tervezi, firmware frissítéssel nem megszüntethető. Ez komoly tervezési hiányosságot fed fel, a jelszó generálása hardcodolva történt a gyártáskor, így a már kiadott eszközök soha nem lesznek teljesen biztonságosak. A gyártó emiatt workaroundot ajánl – például az adminisztrátori jelszó megváltoztatását – és firmware-t ad ki a többire, de a végleges megoldás csak az új gyártású eszközökön érkezik.
A Rapid7 szerint a firmware‑frissítések már több eszközön elérhetők, és az InsightVM és Nexpose felhasználói már automatikusan felismerhetik az érintettséget. Emellett javasolják az EDR és hálózati monitorozás szigorú használatát, különösen a printer interfészek (80, 631, 9100), SNMP/PJL szolgáltatások, valamint az LDAP/FTP forgalom elemzését.
A nyomtatók, szkennerek és címkenyomtatók egy tipikus IT feledésre rendelt zónát képviselnek, gyakran telepítik őket plug-and-play módon, anélkül, hogy folyamatos biztonsági karbantartás alatt állnának. A Rapid7 hangsúlyozza, hogy az ilyen eszközök könnyű célpontot nyújthatnak laterális mozgáshoz, credential theft‑hez, vagy akár hálózati visszafordításokhoz a szervezet hálózatában. Az admin jelszóhoz való hozzáférés különösen veszélyes, mivel a későbbi exploitekhez automatizálható bemenetet biztosít.
Ha a hálózatotokban Brother, Fujifilm, Ricoh, Toshiba vagy Konica Minolta eszközök működnek, azonnal ellenőrizzétek a firmware verziót, alkalmazzátok a gyártói patch-eket, változtassátok meg az alapértelmezett jelszót, és aktiváljatok automatikus detekciós szabályokat a printer interfészeken. A jövőbeli modellcseréknél viszont csak olyan eszközöket használjatok, amelyek már korrigált gyártási jelszó-előállítással érkeznek.
