Canon ได้แก้ไขข้อบกพร่องสำคัญเกี่ยวกับบัฟเฟอร์ล้น 7 รายการ ซึ่งส่งผลต่อเครื่องพิมพ์มัลติฟังก์ชั่นและเครื่องพิมพ์เลเซอร์ในสำนักงานขนาดเล็ก
ติดตามเป็น CVE-2023-6229 ถึง CVE-2023-6234 (บวก CVE-2024-0244) ซึ่งส่งผลต่อกระบวนการต่างๆ ทั่วไปในกลุ่มผลิตภัณฑ์ของ Canon – กระบวนการชื่อผู้ใช้หรือรหัสผ่านที่เกี่ยวข้องกับการตรวจสอบสิทธิ์อุปกรณ์เคลื่อนที่ เช่น Service Location Protocol กระบวนการขอแอตทริบิวต์ (SLP) และอื่นๆ
บริษัทได้ให้คะแนน "วิกฤติ" ทั้งหมด 9.8 จาก 10 คะแนนตามระดับ Common Vulnerability Scoring System (CVSS) ตามที่ได้อธิบายไว้ใน คำแนะนำด้านความปลอดภัยพวกเขาสามารถอนุญาตให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องดำเนินการปฏิเสธการบริการ (DoS) จากระยะไกลหรือดำเนินการรหัสโดยอำเภอใจกับเครื่องพิมพ์ที่ได้รับผลกระทบใด ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง พวกเขายังมีจุดหมุนที่สะดวกเพื่อเจาะลึกเข้าไปในเครือข่ายของเหยื่ออีกด้วย
ยังไม่มีการแสวงหาผลประโยชน์ใด ๆ เกิดขึ้นในป่า ณ ขณะนี้ เว็บไซต์ของบริษัทในยุโรปแต่เจ้าของควรสแกนหาตัวบ่งชี้ของการประนีประนอม เนื่องจากข้อบกพร่องดังกล่าวเป็นที่รู้จักอย่างเปิดเผย แต่ไม่ได้รับการอัปเดตเป็นเวลาหลายเดือน
จัดการได้ยาก: ปัญหาเกี่ยวกับความปลอดภัยของเครื่องพิมพ์
ช่องโหว่ทั้ง 5 รายการที่ได้รับการติดตั้งเมื่อวันที่ XNUMX กุมภาพันธ์ ได้รับการเปิดเผยพร้อมกับช่องโหว่อื่นๆ อีกหลายสิบรายการที่ Pwn2Own SOHO Smashup ของโตรอนโต เมื่อฤดูร้อนปีที่แล้ว ซึ่งผู้เข้าแข่งขันได้รับเชิญให้ละเมิดเราเตอร์ และอุปกรณ์สำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) ที่พวกเขาเชื่อมต่อด้วย
เครื่องพิมพ์จึงไม่ค่อยได้รับการยอมรับว่าเป็น พื้นที่อุดมสมบูรณ์สำหรับการโจมตีทางไซเบอร์, ได้รับประเภทของตนเองภายในงาน.
“มันเป็นพื้นผิวการโจมตีที่ค่อนข้างใหญ่ในตอนนี้ มักถูกมองข้ามโดยเฉพาะอย่างยิ่งในธุรกิจขนาดเล็ก เนื่องจากเป็นการยากที่จะจัดการจากระดับองค์กร” Dustin Childs หัวหน้าฝ่ายการรับรู้ภัยคุกคามของ Zero Day Initiative (ZDI) ของ Trend Micro ซึ่งจัดการแข่งขันแฮ็ก Pwn2Own อธิบาย “ฉันหมายถึง ไม่ใช่ว่าเครื่องพิมพ์จะมีการอัพเดตอัตโนมัติหรือคุณสมบัติอื่น ๆ ที่คุณสามารถใช้จัดการได้อย่างหมดจดและง่ายดาย”
เขากล่าวเสริมว่า “เครื่องพิมพ์มักจะขึ้นชื่อว่าเป็นคนพิถีพิถันอยู่เสมอ คุณสามารถกลับไปที่ Office Space ซึ่งเป็นหนึ่งในฉากสำคัญที่พวกเขา หยิบไม้เบสบอลไปที่เครื่องพิมพ์. มันเป็นเรื่องตลก แต่เป็นเรื่องตลกที่มีพื้นฐานมาจากความเป็นจริง สิ่งเหล่านี้เป็นเรื่องยากที่จะจัดการ ไดรเวอร์นั้นยากต่อการจัดการ และมีซอฟต์แวร์ที่มีปัญหามากมายอยู่ด้วย”
เป็นผลให้เครื่องพิมพ์ในสำนักงานรุ่นเก่าที่เชื่อมต่อกับอุปกรณ์อื่นที่มีความละเอียดอ่อนมากกว่าในเครือข่ายธุรกิจขนาดเล็กหรือขนาดกลาง (SMB) มีแนวโน้มที่จะถอดรหัสได้ค่อนข้างง่าย
“ฉันรู้สึกตกใจเล็กน้อยที่พวกเขาต้องพยายามเพียงเล็กน้อยเพื่อหาช่องโหว่ที่ได้ผลจริงๆ” Childs เล่าถึง Pwn2Own Toronto ตัวอย่างกรณี: “ปีที่แล้วมีคนเล่นธีมมาริโอบนเครื่องพิมพ์ และเขาบอกว่าเขาใช้เวลานานกว่าจะรู้วิธีเล่นธีม Mario มากกว่าที่จะใช้ประโยชน์จากเครื่องพิมพ์”
SMB ทำอะไรได้บ้างเกี่ยวกับความโกลาหลด้านความปลอดภัยของเครื่องพิมพ์
นอกเหนือจากขั้นตอนที่ชัดเจนในการอัปเดตเฟิร์มแวร์ล่าสุด Canon ยังแนะนำให้ลูกค้า "ตั้งค่าที่อยู่ IP ส่วนตัวสำหรับผลิตภัณฑ์และสร้างสภาพแวดล้อมเครือข่ายด้วยไฟร์วอลล์หรือเราเตอร์แบบมีสาย/Wi-Fi ที่สามารถจำกัดการเข้าถึงเครือข่ายได้"
คำแนะนำนี้พูดถึงประเด็นที่ใหญ่กว่า: แม้ว่าเครื่องพิมพ์จะมีความหนาและเทอะทะ แต่สิ่งที่จัดการได้ก็คือการเชื่อมต่อ
“เมื่อก่อนเคยมีเครื่องพิมพ์ที่สามารถระบุที่อยู่ทางอินเทอร์เน็ตได้ เชื่อหรือไม่ สิ่งที่ธุรกิจทำคือนำเครื่องพิมพ์ออกจากอินเทอร์เน็ต ซึ่งเป็นการเปลี่ยนแปลงในทศวรรษที่ผ่านมา ตอนนี้เรามีพวกมันอยู่เบื้องหลังอย่างน้อย ไฟร์วอลล์ หรือเราเตอร์ หรือ บางสิ่งบางอย่าง” เด็กอธิบาย
อย่างไรก็ตามเขากล่าวเสริมว่า “ดังที่เราได้เห็นมาแล้วด้วย PrintNightmare และการหาประโยชน์จากเครื่องพิมพ์อื่นๆ คุณสามารถผ่านไฟร์วอลล์นั้นแล้วโจมตีเครื่องพิมพ์ จากนั้นจึงเปลี่ยนจากไฟร์วอลล์นั้นไปยังเป้าหมายอื่นๆ ภายในองค์กร” เพื่อป้องกันไม่ให้เครื่องพิมพ์เข้าถึงเครือข่ายได้มากขึ้น SMB จำเป็นต้องมุ่งเน้นไปที่การแบ่งส่วนพื้นที่ต่างๆ ของเครือข่ายอย่างเหมาะสม
วิธีที่ดีที่สุดในการปกป้องเครื่องพิมพ์ด้วยตนเองคือการแพตช์ ดังที่ Childs เล่าว่า “ฉันไม่สามารถบอกคุณได้กี่ครั้งว่าฉันได้ยินเกี่ยวกับเครื่องพิมพ์ที่ถูกนำไปใช้ประโยชน์และมีการอัปเดตอยู่เบื้องหลังสามหรือสี่ครั้ง”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/endpoint-security/critical-bugs-canon-small-office-printers-code-execution-ddos
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 10
- 7
- 8
- 9
- a
- เกี่ยวกับเรา
- เข้า
- ตาม
- ข้าม
- ที่อยู่
- เพิ่ม
- คำแนะนำ
- การให้คำแนะนำ
- มีผลต่อ
- ได้รับผล
- น่าสงสาร
- กับ
- ทั้งหมด
- อนุญาต
- คู่ขนาน
- ด้วย
- เสมอ
- an
- และ
- ใด
- โดยพลการ
- เป็น
- พื้นที่
- AS
- ที่ได้รับมอบหมาย
- At
- โจมตี
- อัตโนมัติ
- ความตระหนัก
- กลับ
- กีฬาเบสบอล
- ตาม
- ค้างคาว
- BE
- เพราะ
- รับ
- หลัง
- กำลัง
- เชื่อ
- ที่ดีที่สุด
- ใหญ่
- ช่องโหว่
- เป็นโรคจิต
- ธุรกิจ
- ธุรกิจ
- แต่
- CAN
- สามารถรับ
- กรณี
- หมวดหมู่
- เปลี่ยนแปลง
- ความสับสนวุ่นวาย
- รหัส
- ร่วมกัน
- บริษัท
- การประนีประนอม
- เชื่อมต่อ
- งานที่เชื่อมต่อ
- การเชื่อมต่อ
- ร้าว
- สร้าง
- วิกฤติ
- ลูกค้า
- วัน
- DDoS
- ทศวรรษ
- ลึก
- Denial of Service
- อุปกรณ์
- ต่าง
- ยาก
- โดยตรง
- do
- ทำ
- DOS
- หลายสิบ
- ไดรเวอร์
- อย่างง่ายดาย
- Enterprise
- สิ่งแวดล้อม
- โดยเฉพาะอย่างยิ่ง
- ในทวีปยุโรป
- แม้
- เหตุการณ์
- ตัวอย่าง
- การปฏิบัติ
- อธิบาย
- อธิบาย
- เอาเปรียบ
- ใช้ประโยชน์
- การหาประโยชน์
- คุณสมบัติ
- กุมภาพันธ์
- รูป
- หา
- ไฟร์วอลล์
- โฟกัส
- สำหรับ
- สี่
- ราคาเริ่มต้นที่
- ต่อไป
- ได้รับ
- กำหนด
- Go
- ได้
- บริเวณ
- แฮ็ค
- มี
- จัดการ
- มีประโยชน์
- ยาก
- มี
- he
- หัว
- ได้ยิน
- พระองค์
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- i
- if
- in
- ตัวชี้วัด
- Initiative
- อินเทอร์เน็ต
- เข้าไป
- เชิญ
- ร่วมมือ
- IP
- ที่อยู่ IP
- IT
- ITS
- jpg
- ชนิด
- ที่รู้จักกัน
- ใหญ่
- ที่มีขนาดใหญ่
- เลเซอร์
- ชื่อสกุล
- ปีที่แล้ว
- ล่าสุด
- น้อยที่สุด
- ชั้น
- กดไลก์
- เส้น
- น้อย
- ที่ตั้ง
- อีกต่อไป
- Lot
- จัดการ
- จัดการได้
- หลาย
- มาริโอ
- หมายความ
- ในขณะเดียวกัน
- ไมโคร
- โทรศัพท์มือถือ
- อุปกรณ์มือถือ
- เดือน
- ข้อมูลเพิ่มเติม
- จำเป็นต้อง
- เครือข่าย
- เครือข่าย
- ฉาวโฉ่
- ตอนนี้
- ชัดเจน
- of
- ปิด
- เสนอ
- Office
- เก่า
- on
- ONE
- or
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ออก
- เกิน
- ของตนเอง
- เจ้าของ
- รหัสผ่าน
- อดีต
- ปะ
- ดำเนินการ
- เดือย
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- เล่น
- บวก
- จุด
- สวย
- ป้องกัน
- ส่วนตัว
- ปัญหา
- ที่มีปัญหา
- กระบวนการ
- กระบวนการ
- ผลิตภัณฑ์
- ผลิตภัณฑ์
- อย่างถูกต้อง
- ป้องกัน
- โปรโตคอล
- สาธารณชน
- Pwn2Own
- ไม่ค่อยมี
- ค่อนข้าง
- การให้คะแนน
- ถึง
- ความจริง
- จริงๆ
- ได้รับการยอมรับ
- จากระยะไกล
- ขอ
- จำกัด
- ผล
- เปิดเผย
- ขวา
- เราเตอร์
- ทำงาน
- s
- กล่าวว่า
- ขนาด
- การสแกน
- ฉาก
- คะแนน
- ความปลอดภัย
- เห็น
- มีความละเอียดอ่อน
- บริการ
- ชุด
- เจ็ด
- ผวา
- น่า
- หลับ
- เล็ก
- ธุรกิจขนาดเล็ก
- SMB
- ธุรกิจขนาดกลาง
- So
- ซอฟต์แวร์
- ช่องว่าง
- พูด
- ผู้ให้การสนับสนุน
- ขั้นตอน
- ฤดูร้อน
- พื้นผิว
- ระบบ
- เป้าหมาย
- บอก
- มีแนวโน้มที่
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ชุดรูปแบบ
- ตัวเอง
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- การคุกคาม
- สาม
- ตลอด
- ครั้ง
- ไปยัง
- เอา
- โตรอน
- เทรนด์
- การปรับปรุง
- การปรับปรุง
- ใช้
- มือสอง
- Ve
- เหยื่อ
- ช่องโหว่
- ความอ่อนแอ
- คือ
- ทาง..
- we
- คือ
- อะไร
- ที่
- ป่า
- กับ
- ภายใน
- งาน
- ปี
- ยัง
- คุณ
- YouTube
- ลมทะเล
- เป็นศูนย์
- ศูนย์วัน