באגים קריטיים במדפסות של Canon מאפשרים ביצוע קוד, DDoS

Canon תיקנה שבעה באגים קריטיים של הצפת חוצץ המשפיעים על המדפסות הרב-תכליתיות המשרדיות הקטנות שלה ומדפסות הלייזר.

במעקב כ-CVE-2023-6229 עד CVE-2023-6234 (בתוספת CVE-2024-0244), הם משפיעים על תהליכים שונים הנפוצים בקווי המוצרים של Canon - תהליך שם המשתמש או הסיסמה הכרוכים באימות מכשירים ניידים, למשל, פרוטוקול שירות מיקום תהליך בקשת תכונה (SLP) ועוד.

החברה הקצתה לכולם "קריטיים" 9.8 מתוך 10 דירוגים בסולם Common Vulnerability Scoring System (CVSS). כפי שהוסבר ב ייעוץ אבטחה, הם יכולים לאפשר לתוקפים לא מאומתים לבצע מרחוק מניעת שירות (DoS) או ביצוע קוד שרירותי כנגד כל המדפסות המושפעות המחוברות ישירות לאינטרנט. הם גם מציעים נקודת ציר שימושית לחפור עמוק יותר ברשתות הקורבנות.

לפי הדיווח, לא נצפו עדיין ניצולים בטבע האתר האירופי של החברה, אך הבעלים צריכים לסרוק אינדיקטורים של פשרה בהתחשב בכך שהבאגים ידועים בציבור אך לא תוקנו במשך חודשים.

קשה לטפל: הבעיה באבטחת המדפסת

שבע נקודות התורפה שתוקנו ב-5 בפברואר נחשפו לצד עשרות אחרות ב- Pwn2Own SOHO Smashup של טורונטו בקיץ שעבר, שבו הוזמנו המתמודדים לפרוץ נתבים ולאחר מכן את מכשירי המשרד/המשרד הביתי הקטן (SOHO) שהם מתחברים אליהם.

מדפסות, כל כך נדירות מוכרות כמו קרקע פורייה להתקפות סייבר, קיבלו קטגוריה משלהם באירוע.

"זהו משטח התקפה די גדול כרגע לעתים קרובות התעלמו, במיוחד בעסקים קטנים, כי קשה לנהל את זה מרמת ארגונית", מסביר דסטין צ'יילדס, ראש תחום מודעות לאיומים של יוזמת Zero Day (ZDI) של Trend Micro, שמפעילה את תחרות הפריצה Pwn2Own. "כלומר, זה לא שלמדפסות יש עדכונים אוטומטיים או תכונות אחרות שבהן אתה יכול להשתמש כדי לנהל אותן בצורה נקייה וקלה."

הוא מוסיף, "מדפסות תמיד היו די ידועות לשמצה בהיותן קפדניות. אתה יכול לחזור ל-Office Space - אחת הסצינות הגדולות שבהן הם לקח מחבט בייסבול למדפסת. זו בדיחה, אבל זו בדיחה שמבוססת על המציאות. קשה לנהל את הדברים האלה. קשה לנהל את הנהגים. ויש עליהם הרבה תוכנות בעייתיות".

כתוצאה מכך, מדפסת משרדית ישנה - המחוברת למכשירים אחרים ורגישים יותר ברשת עסקית קטנה או בינונית (SMB) - נוטה להיות די טריוויאלית לפיצוח.

"הייתי קצת בהלם מכמה מעט הם היו צריכים לעבוד על זה כדי למצוא מעללים מעשיים באמת", נזכר צ'יילדס מ-Pwn2Own טורונטו. כמקרה נקודתי: "בשנה שעברה מישהו שיחק את נושא מריו במדפסת. והוא אמר שלקח לו יותר זמן להבין איך לשחק את ערכת הנושא מריו מאשר לנצל את המדפסת."

מה עסקים קטנים ובינוניים יכולים לעשות בנוגע לכאוס אבטחת מדפסת

מעבר לשלב הברור של עדכון לקושחה העדכנית ביותר, Canon מייעצת ללקוחותיה "להגדיר כתובת IP פרטית למוצרים וליצור סביבת רשת עם חומת אש או נתב קווי/Wi-Fi שיכולים להגביל את הגישה לרשת".

העצה מדברת על נקודה גדולה יותר: שגם אם המדפסות עבות ומסורבלות, מה שניתן לניהול הוא הקישוריות שלהן.

"פעם היו, תאמינו או לא, מדפסות הניתנות להתייחסות לאינטרנט. מה שעסקים עשו זה שהם הורידו מדפסות מהאינטרנט, וזה שינוי בעשור האחרון. עכשיו יש לנו אותם מאחורי לפחות חומת אש, או נתב, או משהו", מסביר צ'ילדס.

עם זאת, הוא מוסיף, "כפי שראינו עם PrintNightmare וניצולים אחרים מבוססי מדפסת, אתה יכול לעבור את חומת האש ואז לתקוף מדפסת, ואז לעבור ממנה ליעדים אחרים בתוך הארגון." כדי למנוע מפגיעה במדפסת להגיע רחוק יותר לרשת, חברות SMB צריכים להתמקד בפילוח נכון של אזורים שונים ברשתות שלהם.

הדרך הטובה ביותר להגן על המדפסות עצמן, בינתיים, היא תיקון. כפי שצ'יילדס נזכר, "אני לא יכול להגיד לך כמה פעמים שמעתי על מדפסות שניצלו שהיו מאחוריהן שלושה או ארבעה עדכונים".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/endpoint-security/critical-bugs-canon-small-office-printers-code-execution-ddos