Canon Yazıcılardaki Kritik Hatalar Kod Yürütülmesine ve DDoS'a İzin Veriyor

Canon, küçük ofis çok işlevli yazıcılarını ve lazer yazıcılarını etkileyen yedi kritik arabellek taşması hatasını düzeltti.

CVE-2023-6229'dan CVE-2023-6234'e (artı CVE-2024-0244) kadar izlenen bu işlemler, Canon'un ürün gruplarında ortak olan farklı süreçleri etkiler; örneğin, Hizmet Konumu Protokolü gibi, mobil cihazların kimliğinin doğrulanmasıyla ilgili kullanıcı adı veya parola işlemi. (SLP) özellik isteği süreci ve daha fazlası.

Şirket, bunların hepsine Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) ölçeğinde 9.8 üzerinden 10 "kritik" notu verdi. Açıklandığı gibi bir güvenlik danışmanlığıkimliği doğrulanmamış saldırganların doğrudan Internet'e bağlı etkilenen yazıcılara karşı uzaktan hizmet reddi (DoS) gerçekleştirmesine veya rastgele kod yürütmesine olanak tanıyabilirler. Ayrıca kurban ağlarının derinliklerine inmek için kullanışlı bir pivot noktası da sunuyorlar.

Şu ana kadar vahşi doğada herhangi bir istismar gözlemlenmedi. şirketin Avrupa sitesi, ancak hataların kamuya açık olduğu ancak aylardır yama yapılmadığı göz önüne alındığında, sahiplerin güvenlik ihlali göstergelerini taraması gerekir.

Başa Çıkılması Zor: Yazıcı Güvenliği Sorunu

5 Şubat'ta yamalanan yedi güvenlik açığı, düzinelerce diğer güvenlik açığıyla birlikte ortaya çıktı. Pwn2Own Toronto'nun SOHO Smashup'ı Geçen yaz yarışmacıların yönlendiricileri ve ardından bağlandıkları küçük ofis/ev ofis (SOHO) cihazlarını ihlal etmeye davet edildiği yer.

Yazıcılar, nadiren tanınan Siber saldırılar için verimli zeminlerEtkinlikte , kendi kategorileri verildi.

“Şu anda oldukça geniş bir saldırı yüzeyi var Sıklıkla gözden kaçanPwn2Own bilgisayar korsanlığı yarışmasını yürüten Trend Micro'nun Zero Day Initiative (ZDI) tehdit farkındalığı başkanı Dustin Childs, "özellikle küçük işletmelerde, çünkü bunu kurumsal düzeyde yönetmek zordur" diye açıklıyor. "Demek istediğim, yazıcıların otomatik güncellemeleri veya bunları temiz ve kolay bir şekilde yönetmek için kullanabileceğiniz diğer özellikleri yok."

Şöyle ekliyor: “Matbaacılar her zaman titiz olmalarıyla meşhur olmuşlardır. En büyük sahnelerden biri olan Office Space'e geri dönebilirsiniz. beyzbol sopasını yazıcıya götürdüm. Bu bir şaka ama gerçekliğe dayanan bir şaka. Bu şeyleri yönetmek zordur. Sürücüleri yönetmek zordur. Ve üzerlerinde pek çok sorunlu yazılım var.”

Sonuç olarak, küçük veya orta ölçekli işletme (KOBİ) ağındaki diğer, daha hassas cihazlara bağlı eski bir ofis yazıcısının kırılması oldukça önemsiz olma eğilimindedir.

Childs, Pwn2Own Toronto'yu şöyle anımsıyor: "Gerçekten işe yarar istismarlar bulmak için üzerinde ne kadar az çalışmak zorunda kaldıklarını görünce biraz şaşırdım." Bir örnek olarak: “Geçen yıl birisi Mario temasını yazıcıda oynattı. Ve Mario temasını nasıl oynayacağını bulmanın, yazıcıyı kullanmaktan daha uzun sürdüğünü söyledi."

Yazıcı Güvenliği Kaosuna Karşı KOBİ'ler Ne Yapabilir?

Canon, en son aygıt yazılımına güncelleme gibi bariz bir adımın ötesinde, müşterilerine "ürünler için özel bir IP adresi ayarlamalarını ve ağ erişimini kısıtlayabilecek bir güvenlik duvarı veya kablolu/Wi-Fi yönlendiricisi olan bir ağ ortamı oluşturmalarını" tavsiye ediyor.

Tavsiye daha büyük bir noktaya işaret ediyor: Yazıcılar kalın ve hantal olsa bile yönetilebilir olan şey onların bağlantılarıdır.

“İster inanın ister inanmayın, İnternet'e adreslenebilir yazıcılar vardı. İşletmelerin yaptığı şey, son on yılda bir değişiklik olan yazıcıları internetten kaldırmak oldu. Artık onları en azından bir güvenlik duvarının veya yönlendiricinin arkasına aldık veya bir şeydiye açıklıyor Childs.

Ancak şunları ekliyor: “Gördüğümüz gibi PrintNightmare ve diğer yazıcı tabanlı istismarlar, Bu güvenlik duvarını aşabilir ve ardından bir yazıcıya saldırabilir, ardından bundan kuruluş içindeki diğer hedeflere dönebilirsiniz." Yazıcının bir ağa sızmasını önlemek için KOBİ'lerin ağlarının farklı alanlarını doğru şekilde bölümlendirmeye odaklanması gerekiyor.

Bu arada yazıcıları korumanın en iyi yolu yama yapmaktır. Childs'ın hatırladığı gibi, "Üç veya dört güncelleme geride kalan yazıcıların istismar edildiğini kaç kez duyduğumu anlatamam."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/endpoint-security/critical-bugs-canon-small-office-printers-code-execution-ddos