Sebanyak 689 model printer dari Brother, bersama dengan 53 model lain dari Fujifilm, Toshiba, dan Konica Minolta, datang dengan kata sandi administrator default yang dapat dihasilkan oleh penyerang jarak jauh. Lebih buruk lagi, tidak ada cara untuk memperbaiki cacat melalui firmware di printer yang ada.
Cacat, dilacak di bawah CVE-2024-51978adalah bagian dari satu set delapan kerentanan Ditemukan oleh peneliti Rapid7 Selama pemeriksaan panjang perangkat keras saudara.
| Cve | Keterangan | Layanan yang terpengaruh | CVSS |
|---|---|---|---|
| CVE-2024-51977 | Penyerang yang tidak aautentikasi dapat membocorkan informasi sensitif. | Http (port 80), https (port 443), ipp (port 631) | 5.3 (sedang) |
| CVE-2024-51978 | Penyerang yang tidak aautentikasi dapat menghasilkan kata sandi administrator default perangkat. | Http (port 80), https (port 443), ipp (port 631) | 9.8 (kritis) |
| CVE-2024-51979 | Penyerang yang diautentikasi dapat memicu overflow buffer berbasis tumpukan. | Http (port 80), https (port 443), ipp (port 631) | 7.2 (tinggi) |
| CVE-2024-51980 | Penyerang yang tidak aautentikasi dapat memaksa perangkat untuk membuka koneksi TCP. | Layanan Web melalui HTTP (Port 80) | 5.3 (sedang) |
| CVE-2024-51981 | Penyerang yang tidak aautentikasi dapat memaksa perangkat untuk melakukan permintaan HTTP yang sewenang -wenang. | Layanan Web melalui HTTP (Port 80) | 5.3 (sedang) |
| CVE-2024-51982 | Penyerang yang tidak aautentikasi dapat menghancurkan perangkat. | PJL (Port 9100) | 7.5 (tinggi) |
| CVE-2024-51983 | Penyerang yang tidak aautentikasi dapat menghancurkan perangkat. | Layanan Web melalui HTTP (Port 80) | 7.5 (tinggi) |
| CVE-2024-51984 | Penyerang yang diautentikasi dapat mengungkapkan kata sandi layanan eksternal yang dikonfigurasi. | LDAP, FTP | 6.8 (sedang) |
Kerentanan penting ini dapat dirantai dengan kerentanan lain yang ditemukan oleh Rapid7 untuk menentukan kata sandi admin, mengendalikan perangkat, melakukan eksekusi kode jarak jauh, menghancurkannya, atau berputar dalam jaringan yang terhubung dengan mereka.
Tidak semua kekurangan mempengaruhi setiap model printer 689 saudara lelaki, tetapi produsen lain, termasuk Fujifilm (46 model), Konica Minolta (6), Ricoh (5), dan Toshiba (2), juga terkena dampak.
Sumber: Rapid7
Pembuatan kata sandi yang tidak aman
Kata sandi default di printer yang terkena dampak dihasilkan selama pembuatan menggunakan alogirthm khusus berdasarkan nomor seri perangkat.
Menurut a analisis teknis terperinci oleh Rapid7, algoritma pembuatan kata sandi mengikuti proses yang mudah dibalik:
- Ambil 16 karakter pertama dari nomor seri.
- Tambahkan 8 byte yang berasal dari meja “garam” statis.
- Hash Hasilnya dengan SHA256.
- Base64-enkode hash.
- Ambil delapan karakter pertama dan gantikan beberapa huruf dengan karakter khusus.
Penyerang dapat membocorkan nomor seri printer target menggunakan berbagai metode atau dengan mengeksploitasi CVE-2024-51977. Mereka kemudian dapat menggunakan algoritma untuk menghasilkan kata sandi admin default dan masuk sebagai admin.
Dari sana, mereka dapat mengkonfigurasi ulang printer, mengakses pemindaian tersimpan, membaca buku alamat, mengeksploitasi CVE-2024-51979 untuk eksekusi kode jarak jauh, atau dieksploitasi CVE-2024-51984 untuk memanen kredensial.
Rapid7 memulai proses pengungkapannya pada Mei 2024 dan dibantu oleh JPCERT/CC dalam mengoordinasikan pengungkapan ke produsen lain.
Meskipun semua kelemahan telah ditetapkan dalam pembaruan firmware yang disediakan oleh produsen yang terkena dampak, kasus dengan CVE-2024-51978 rumit dalam hal manajemen risiko.
Kerentanan berakar pada logika pembuatan kata sandi yang digunakan dalam pembuatan perangkat keras, dan karenanya, perangkat apa pun yang dibuat sebelum penemuannya akan memiliki kata sandi yang dapat diprediksi kecuali pengguna mengubahnya.
“Brother telah mengindikasikan bahwa kerentanan ini tidak dapat sepenuhnya diatasi dalam firmware, dan telah membutuhkan perubahan pada proses pembuatan semua model yang terpengaruh,” jelas Rapid7 mengenai CVE-2024-51978.
Pengguna printer saudara yang ada yang tercantum dalam model yang terkena dampak harus menganggap perangkat mereka rentan dan segera mengubah kata sandi admin default, diikuti dengan menerapkan pembaruan firmware.
Secara umum, disarankan untuk membatasi akses ke antarmuka admin printer melalui protokol tanpa jaminan dan jaringan eksternal.
Buletin keamanan dengan instruksi tentang apa yang harus dilakukan pengguna Saudara laki-laki, Konica Minolta, FUJIFILM, RicohDan Toshiba.
Mengapa timnya membuang manajemen tambalan manual
Patching digunakan untuk berarti skrip yang kompleks, berjam -jam, dan latihan api yang tak ada habisnya. Tidak lagi.
Dalam panduan baru ini, tines meruntuhkan bagaimana modern IT Orgs naik level dengan otomatisasi. Patch lebih cepat, mengurangi overhead, dan fokus pada pekerjaan strategis – tidak ada skrip kompleks yang diperlukan.
