出典: Colin Underhill via Alamy Stock Photo
ハードウェアメーカーのブラザーの数百台のプリンターが、ファームウェアで修正できない重大なセキュリティ脆弱性の影響を受けています。
この情報は、今日セキュリティ企業Rapid7によって発表された研究の一部として公開されました。この研究は、5つのデバイスベンダーからのプリンター、スキャナー、ラベルメーカーのデバイス748モデルに影響を与える8つの脆弱性に関するものです。影響を受けるモデルの大部分 — 689台 — は、日本を拠点とする電子機器メーカーのブラザーからのものです。
8つの欠陥のうち7つは修正可能ですが、前述の脆弱性CVE-2024-51978は修正できません。この脆弱性は、CVSSスコア9.8の重大なもので、認証されていない攻撃者が「デバイスのデフォルト管理者パスワードを生成する」ことを可能にします。この脆弱性を発見したRapid7の主任セキュリティ研究者Stephen Fewerは、ブログ記事で述べています。
Fewerは、このバグがブラザーのデフォルトパスワード生成機能に存在し、デバイスのシリアル番号に基づいてパスワードを生成することを指摘しています。そのため、攻撃者がデバイスのシリアル番号を知っていれば(他の欠陥を通じて漏洩させることができる)、ターゲットデバイスのデフォルト管理者パスワードを「生成することができます」。
合計で695のデバイスモデルがこの特定の脆弱性の影響を受けているとFewerは述べ、「ブラザーはこの脆弱性がファームウェアで完全に修正できないことを示し、影響を受けたすべてのモデルの製造プロセスの変更を必要としました」と述べています。
影響を受けたデバイスを持つ他のベンダーには、富士フイルム(46のプリンターモデル)、リコー(5のプリンターモデル)、東芝(2のプリンターモデル)、コニカミノルタ(6のプリンターモデル)が含まれます。
全体として、世界中の数百万台の個々のプリンターがこの問題の影響を受ける可能性があり、攻撃者はこれを利用して企業ネットワークに足場を築き、横方向に移動することができます。
他の7つのプリンターバグとビジネスリスク
Rapid7は、2024年5月からブラザーと部分的に中間者および日本のサイバーエージェンシーJPCERT/CCを通じて協力してきたと述べています。Rapid7が電子機器メーカーと最初に接触したのはこの時期です。JPCERT/CCは7月に関与し、8月には2025年6月の公開日が設定されました。
その後数ヶ月間、3者は協力して修正をテストし、CVEを登録し、影響を受けたモデルを特定し、関連するファームウェアアップデートをリリースしました。
CVE-2024-51978に加えて、他のバグにはデータ漏洩脆弱性CVE-2024-51977(CVSS 5.3)、スタックバッファオーバーフロー脆弱性CVE-2024-51979(CVSS 7.2)、サーバーサイドリクエストフォージェリ(SSRF)脆弱性CVE-2024-51980およびCVE-2024-51980(両方ともCVSS 5.3)、サービス拒否(DoS)脆弱性CVE-2024-51982およびCVE-2024-51983(両方ともCVSS 7.5)、およびパスバック脆弱性CVE-2024-51984(CVSS 6.8)が含まれます。
データ漏洩脆弱性CVE-2024-51977は、シリアル番号を生成するために使用できますが、それは複数のオプションのうちの1つにすぎません。
“攻撃者がCVE-2024-51977を利用できない場合でも、リモートの認証されていない攻撃者は、PJLまたはSNMPクエリを通じてターゲットデバイスのシリアル番号を発見することができます”とFewerは書いています。”ターゲットデバイスの管理者パスワードが変更されておらず、デフォルトのままである場合、リモートの認証されていない攻撃者は、このデフォルトの管理者パスワードを使用してターゲットデバイスを再構成したり、認証されたユーザーのみを対象とした機能にアクセスしたりすることができます。”
攻撃者が管理者アクセスを得た場合、スタックバッファオーバーフローの欠陥CVE-2024-51979と組み合わせて、認証されていないリモートコード実行を行うことができます。同様に、SSRFの欠陥はCVE-2024-51978と組み合わせて、脆弱なデバイスでネットワーク接続を実行することができ、DoSの欠陥はCVE-2024-51978と組み合わせて、デバイスをクラッシュさせ、一時的に使用不能にすることができます。
一方、CVE-2024-51984は、”リモート認証された攻撃者が、LDAPやFTPなどのいくつかの設定された外部サービスのプレーンテキストの資格情報を発見することを可能にします。”
“この脆弱性をうまく利用することで、攻撃者はネットワーク環境にさらに侵入しようとする際に使用する追加の資格情報を得ることができます”とFewerは説明しています。”外部FTPサービスへの資格情報の場合、これらの資格情報は、そのFTPサービスに保存されているドキュメントなどの機密情報を開示するために使用される可能性があります。”
Dark Readingに対して、Fewerは8つの欠陥の悪用可能性の複雑さはさまざまであると述べていますが、認証バイパスとパスバック攻撃のバグを悪用することは「簡単」であると述べています。
Rapid7はこれらの欠陥のいずれかが野生で悪用されているのをまだ観察していませんが、Fewerはブラザーのエクスプロイトの地下取引市場の存在を警戒する理由として挙げています。
“私は、プリンターがペネトレーションテスト中に一般的なターゲットであることを知っています。それらはしばしば不適切に構成されているか、最近のファームウェアアップデートが欠けているためです”と彼は言います。”影響を受けるモデルの数と、したがって影響を受けるデバイスの規模を考えると、これらの脆弱性が悪用されることを期待しています。”
パスワードを変更: ブラザープリンターの緩和策
Rapid7の技術分析に加えて、ブラザーはCVE-2024-51977、CVE-2024-51979、CVE-2024-51980、CVE-2024-51981、CVE-2024-51982、CVE-2024-51983、およびCVE-2024-51984を含む8つの脆弱性のうち7つに対処するファームウェアアップデートを公開しました。
CVE-2024-51978については、ブラザーはアドバイザリで回避策を公開しました: デフォルトの管理者パスワードを変更することです。この脆弱性は深刻ですが、それを悪用するためには顧客がデフォルトパスワードを維持している必要があるため、解決策は簡単です。
富士フイルム、リコー、東芝、およびコニカミノルタもアドバイザリを公開しました。解決策は似ています: 関連する場合はデフォルトの管理者パスワードを更新し、最新のファームウェアに更新します。
Dark Readingは、ブラザーがJPCERT/CCを中間者として選んだ理由についてFewerに尋ねました。彼は、この動きを「素晴らしい選択」と称賛し、エージェンシーが両者が質問を持ったときにコミュニケーションを取り、責任を持つことを可能にしたと述べています。
“さらに、”とFewerは言います、”我々は報告した脆弱性によって影響を受ける他のベンダーがいくつかあることを今知っています。これらのベンダーのいくつかが日本に本社を置いていることを考えると、JPCERT/CCを通じて行くことは非常に理にかなっていたと思います。全体として、JPCERT/CCを通じてブラザーと協力する経験は素晴らしいものであり、この複雑で長期にわたる開示プロセスを成功させるために両者に多くの感謝を捧げます。”
Dark Readingは、追加のコメントを求めてブラザーに連絡しました。
翻訳元: https://www.darkreading.com/endpoint-security/millions-brother-printers-critical-unpatchable-bug