Canon תיקנה שבעה באגים קריטיים של הצפת חוצץ המשפיעים על המדפסות הרב-תכליתיות המשרדיות הקטנות שלה ומדפסות הלייזר.
במעקב כ-CVE-2023-6229 עד CVE-2023-6234 (בתוספת CVE-2024-0244), הם משפיעים על תהליכים שונים הנפוצים בקווי המוצרים של Canon - תהליך שם המשתמש או הסיסמה הכרוכים באימות מכשירים ניידים, למשל, פרוטוקול שירות מיקום תהליך בקשת תכונה (SLP) ועוד.
החברה הקצתה לכולם "קריטיים" 9.8 מתוך 10 דירוגים בסולם Common Vulnerability Scoring System (CVSS). כפי שהוסבר ב ייעוץ אבטחה, הם יכולים לאפשר לתוקפים לא מאומתים לבצע מרחוק מניעת שירות (DoS) או ביצוע קוד שרירותי כנגד כל המדפסות המושפעות המחוברות ישירות לאינטרנט. הם גם מציעים נקודת ציר שימושית לחפור עמוק יותר ברשתות הקורבנות.
לפי הדיווח, לא נצפו עדיין ניצולים בטבע האתר האירופי של החברה, אך הבעלים צריכים לסרוק אינדיקטורים של פשרה בהתחשב בכך שהבאגים ידועים בציבור אך לא תוקנו במשך חודשים.
קשה לטפל: הבעיה באבטחת המדפסת
שבע נקודות התורפה שתוקנו ב-5 בפברואר נחשפו לצד עשרות אחרות ב- Pwn2Own SOHO Smashup של טורונטו בקיץ שעבר, שבו הוזמנו המתמודדים לפרוץ נתבים ולאחר מכן את מכשירי המשרד/המשרד הביתי הקטן (SOHO) שהם מתחברים אליהם.
מדפסות, כל כך נדירות מוכרות כמו קרקע פורייה להתקפות סייבר, קיבלו קטגוריה משלהם באירוע.
"זהו משטח התקפה די גדול כרגע לעתים קרובות התעלמו, במיוחד בעסקים קטנים, כי קשה לנהל את זה מרמת ארגונית", מסביר דסטין צ'יילדס, ראש תחום מודעות לאיומים של יוזמת Zero Day (ZDI) של Trend Micro, שמפעילה את תחרות הפריצה Pwn2Own. "כלומר, זה לא שלמדפסות יש עדכונים אוטומטיים או תכונות אחרות שבהן אתה יכול להשתמש כדי לנהל אותן בצורה נקייה וקלה."
הוא מוסיף, "מדפסות תמיד היו די ידועות לשמצה בהיותן קפדניות. אתה יכול לחזור ל-Office Space - אחת הסצינות הגדולות שבהן הם לקח מחבט בייסבול למדפסת. זו בדיחה, אבל זו בדיחה שמבוססת על המציאות. קשה לנהל את הדברים האלה. קשה לנהל את הנהגים. ויש עליהם הרבה תוכנות בעייתיות".
כתוצאה מכך, מדפסת משרדית ישנה - המחוברת למכשירים אחרים ורגישים יותר ברשת עסקית קטנה או בינונית (SMB) - נוטה להיות די טריוויאלית לפיצוח.
"הייתי קצת בהלם מכמה מעט הם היו צריכים לעבוד על זה כדי למצוא מעללים מעשיים באמת", נזכר צ'יילדס מ-Pwn2Own טורונטו. כמקרה נקודתי: "בשנה שעברה מישהו שיחק את נושא מריו במדפסת. והוא אמר שלקח לו יותר זמן להבין איך לשחק את ערכת הנושא מריו מאשר לנצל את המדפסת."
מה עסקים קטנים ובינוניים יכולים לעשות בנוגע לכאוס אבטחת מדפסת
מעבר לשלב הברור של עדכון לקושחה העדכנית ביותר, Canon מייעצת ללקוחותיה "להגדיר כתובת IP פרטית למוצרים וליצור סביבת רשת עם חומת אש או נתב קווי/Wi-Fi שיכולים להגביל את הגישה לרשת".
העצה מדברת על נקודה גדולה יותר: שגם אם המדפסות עבות ומסורבלות, מה שניתן לניהול הוא הקישוריות שלהן.
"פעם היו, תאמינו או לא, מדפסות הניתנות להתייחסות לאינטרנט. מה שעסקים עשו זה שהם הורידו מדפסות מהאינטרנט, וזה שינוי בעשור האחרון. עכשיו יש לנו אותם מאחורי לפחות חומת אש, או נתב, או משהו", מסביר צ'ילדס.
עם זאת, הוא מוסיף, "כפי שראינו עם PrintNightmare וניצולים אחרים מבוססי מדפסת, אתה יכול לעבור את חומת האש ואז לתקוף מדפסת, ואז לעבור ממנה ליעדים אחרים בתוך הארגון." כדי למנוע מפגיעה במדפסת להגיע רחוק יותר לרשת, חברות SMB צריכים להתמקד בפילוח נכון של אזורים שונים ברשתות שלהם.
הדרך הטובה ביותר להגן על המדפסות עצמן, בינתיים, היא תיקון. כפי שצ'יילדס נזכר, "אני לא יכול להגיד לך כמה פעמים שמעתי על מדפסות שניצלו שהיו מאחוריהן שלושה או ארבעה עדכונים".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/endpoint-security/critical-bugs-canon-small-office-printers-code-execution-ddos
- :יש ל
- :הוא
- :לֹא
- :איפה
- 10
- 7
- 8
- 9
- a
- אודות
- גישה
- פי
- לרוחב
- כתובת
- מוסיף
- עצה
- ייעוץ
- להשפיע על
- מושפע
- משפיע
- נגד
- תעשיות
- להתיר
- בַּצַד
- גם
- תמיד
- an
- ו
- כל
- שרירותי
- ARE
- אזורים
- AS
- שהוקצה
- At
- לתקוף
- מכני עם סלילה אוטומטית
- מודעות
- בחזרה
- בייסבול
- מבוסס
- לבת
- BE
- כי
- היה
- מאחור
- להיות
- תאמינו
- הטוב ביותר
- גָדוֹל
- הפרה
- באגים
- עסקים
- עסקים
- אבל
- CAN
- יכול לקבל
- מקרה
- קטגוריה
- שינוי
- תוהו ובוהו
- קוד
- Common
- חברה
- פשרה
- לְחַבֵּר
- מחובר
- קישוריות
- סדק
- לִיצוֹר
- קריטי
- לקוחות
- יְוֹם
- DDoS
- עָשׂוֹר
- עמוק יותר
- מניעת שירות
- התקנים
- אחר
- קשה
- ישירות
- do
- עשה
- DOS
- עשרות
- נהגים
- בקלות
- מִפְעָל
- סביבה
- במיוחד
- אֵירוֹפִּי
- אֲפִילוּ
- אירוע
- דוגמה
- הוצאת להורג
- מוסבר
- מסביר
- לנצל
- ומנוצל
- מעללים
- תכונות
- פבואר
- תרשים
- חומת אש
- להתמקד
- בעד
- ארבע
- החל מ-
- נוסף
- לקבל
- נתן
- Go
- קבל
- עילה
- פריצה
- היה
- לטפל
- שימושי
- קשה
- יש
- he
- ראש
- נשמע
- לו
- איך
- איך
- HTTPS
- i
- if
- in
- אינדיקטורים
- יוזמה
- אינטרנט
- אל תוך
- הזמין
- מעורב
- IP
- כתובת IP
- IT
- שֶׁלָה
- jpg
- סוג
- ידוע
- גָדוֹל
- גדול יותר
- לייזר
- אחרון
- שנה שעברה
- האחרון
- הכי פחות
- רמה
- כמו
- קווים
- קְצָת
- מיקום
- עוד
- מגרש
- לנהל
- ניתן לניהול
- רב
- מריו
- אומר
- בינתיים
- מיקרו
- סלולרי
- מכשירים ניידים
- חודשים
- יותר
- צורך
- רשת
- רשתות
- יָדוּעַ לְשִׁמצָה
- עַכשָׁיו
- ברור
- of
- כבוי
- הַצָעָה
- Office
- זקן
- on
- ONE
- or
- אחר
- אחרים
- הַחוּצָה
- יותר
- שֶׁלוֹ
- בעלי
- סיסמה
- עבר
- תיקון
- לְבַצֵעַ
- Pivot
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- שיחק
- ועוד
- נקודה
- יפה
- למנוע
- פְּרָטִי
- בעיה
- בעייתי
- תהליך
- תהליכים
- המוצר
- מוצרים
- כמו שצריך
- להגן
- פרוטוקול
- בפומבי
- Pwn2Own
- לעתים רחוקות
- במקום
- דירוגים
- הגעה
- מציאות
- בֶּאֱמֶת
- מוכר
- מרחוק
- לבקש
- לְהַגבִּיל
- תוצאה
- גילה
- תקין
- נתב
- פועל
- s
- אמר
- סולם
- סריקה
- סצנות
- מניה
- אבטחה
- לראות
- רגיש
- שרות
- סט
- שבע
- המום
- צריך
- SLP
- קטן
- עסקים קטנים
- SMB
- חברות קטנות ובינוניות
- So
- תוכנה
- מֶרחָב
- מדבר
- ממומן
- שלב
- קיץ
- משטח
- מערכת
- מטרות
- לספר
- נוטה
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- נושא
- עצמם
- אז
- שם.
- אלה
- הֵם
- דברים
- איום
- שְׁלוֹשָׁה
- דרך
- פִּי
- ל
- לקח
- טורונטו
- מְגַמָה
- עדכונים
- עדכון
- להשתמש
- מְשׁוּמָשׁ
- Ve
- קרבן
- פגיעויות
- פגיעות
- היה
- דֶרֶך..
- we
- היו
- מה
- אשר
- בר
- עם
- בתוך
- תיק עבודות
- שנה
- עוד
- אתה
- YouTube
- זפירנט
- אפס
- יום אפס