Miliony drukarek trzeba odłączyć od sieci. Aktualizacja nic nie pomoże
Eksperci ds. cyberbezpieczeństwa z firmy Rapid7 odkryli krytyczne luki w zabezpieczeniach, które dotykają łącznie 748 modeli drukarek od pięciu producentów. Najpoważniejsza z nich nie może zostać naprawiona standardową aktualizacją oprogramowania - to problem ukryty w samej konstrukcji urządzeń.
Głównym problemem jest luka bezpieczeństwa CVE-2024-51978 o krytycznym poziomie zagrożenia 9.8 punktów w skali CVSS. Dotyczy ona 689 modeli Brother oraz dodatkowo 59 drukarek innych marek: 46 modeli Fujifilm, 6 Konica Minolta, 5 Ricoh i 2 Toshiba. Problem tkwi w sposobie generowania domyślnych haseł administratora.
Podczas produkcji drukarki otrzymują hasło administratora generowane przez specjalny algorytm na podstawie numeru seryjnego urządzenia. Brzmi bezpiecznie, ale diabeł tkwi w szczegółach - algorytm okazał się na tyle przewidywalny, że można go odtworzyć.
To też jest ważne:
Proces generowania hasła składa się z kilku kroków:
- Pobranie pierwszych 16 znaków numeru seryjnego;
- Dodanie 8 bajtów ze statycznej tabeli soli;
- Wygenerowanie skrótu SHA256;
- Kodowanie Base64;
- Pobranie pierwszych ośmiu znaków i zastąpienie niektórych liter znakami specjalnymi.
I poszło. Można sobie sterować cudzymi drukarkami, a nawet skanować sieć
Sama możliwość wygenerowania hasła administratora to dopiero początek problemów. Rapid7 odkryło łącznie osiem luk bezpieczeństwa, z których większość może być wykorzystana w połączeniu z CVE-2024-51978.
Pozostałe podatności obejmują:
- CVE-2024-51977 (5.3 punkty) - wyciek wrażliwych informacji, w tym numeru seryjnego;
- CVE-2024-51979 (7.2 punkty) - przepełnienie bufora umożliwiające zdalne wykonanie kodu;
- CVE-2024-51980 do CVE-2024-51984 - różne problemy od wymuszania połączeń TCP po kradzież danych uwierzytelniających.
Atakujący może więc najpierw wykorzystać CVE-2024-51977 do pozyskania numeru seryjnego, następnie wygenerować hasło administratora i przejąć kontrolę nad drukarką. Dalej może zdalnie wykonywać kod, kraść dane z zapisanych skanów, modyfikować książki adresowe czy wykorzystać drukarkę jako trampolinę do ataków na inne urządzenia w sieci.
Największym wyzwaniem jest fakt, że CVE-2024-51978 nie może zostać naprawiona standardową aktualizacją firmware'u. Jak wyjaśnia Brother: ta podatność nie może być w pełni usunięta przez oprogramowanie sprzętowe i wymaga zmiany procesu produkcyjnego wszystkich dotkniętych modeli.
Oznacza to, że wszystkie drukarki wyprodukowane przed odkryciem luki pozostaną podatne na atak, niezależnie od aktualizacji. Jedynym rozwiązaniem jest ręczna zmiana domyślnego hasła administratora przez użytkowników.
Miliony urządzeń w niebezpieczeństwie
Skala problemu jest ogromna. Podczas swojego badania eksperci Rapid7 odkryli, że na początku maja aż 5739 drukarek Brother było dostępnych bezpośrednio z Internetu. Biorąc pod uwagę, że dotyczy to setek modeli używanych zarówno w domach, jak i biurach, liczba potencjalnie zagrożonych urządzeń może sięgać kilku milionów.
Szczególnie niepokojące jest to, że problem dotyczy nie tylko starszych modeli. Lista objętych urządzeń zawiera zarówno drukarki atramentowe, laserowe, jak i urządzenia wielofunkcyjne MFC - czyli praktycznie cały asortyment Brothera dostępny w ostatnich latach.
Instrukcja bezpieczeństwa. Nie zwlekaj
Brother przygotował szczegółowe instrukcje postępowania dla użytkowników zagrożonych urządzeń. Firma udostępniła dokument PDF z listą wszystkich dotkniętych modeli wraz z informacjami o dostępności aktualizacji firmware'u.
Podstawowe kroki zabezpieczające obejmują:
- Natychmiastową zmianę domyślnego hasła administratora;
- Instalację dostępnych aktualizacji firmware'u;
- Ograniczenie dostępu do interfejsu administracyjnego drukarki z niezabezpieczonych sieci;
- Monitorowanie aktywności urządzenia.
Warto pamiętać, że drukarki to już dawno nie tylko urządzenia do wydruku - to pełnoprawne elementy infrastruktury IT, które przechowują dane, łączą się z siecią i mają dostęp do poufnych informacji firmowych.
Dla użytkowników oznacza to jedno - jeśli posiadasz drukarkę Brother (lub inną z dotkniętych marek) wyprodukowaną przed bieżącym rokiem najwyższa pora zajrzeć do ustawień administratora i zmienić domyślne hasło. To może być prosta granica między bezpiecznym urządzeniem a potencjalną bramą dla cyberprzestępców do twojej sieci.
