Beveiligingsonderzoekers van Rapid7 hebben acht kwetsbaarheden ontdekt die vooral printers van Brother treffen, maar ook van andere fabrikanten. Specifiek voor Brother is één van de kwetsbaarheden onoplosbaar met een patch.
Onderzoekers van Rapid7 hebben acht kwetsbaarheden in printers ontdekt. Brother is het hardst getroffen: 689 verschillende modellen van de fabrikant zijn vatbaar voor één van de bugs. Ook enkele andere printerfabrikanten kampen met lekken in de firmware van hun modellen. 46 toestellen van Fujifilm zijn getroffen, net als zes toestellen van Konica Minolta, vijf van Ricoh en twee van Toshiba.
Ingebakken standaardwachtwoord
De meest ernstige bug is CVE-2024-51978. Die laat aanvallers toe om een beheerderswachtwoord te genereren op basis van het serienummer van het toestel. Dat serienummer is op verschillende manieren te verkrijgen. Printers van Brother genereren een standaard admin-wachtwoord op basis van dat serienummer.
In feite heeft Brother een hardwarematig beheerderswachtwoord ingebouwd, maar dan met enkele modaliteiten die dat moeten verstoppen. Nu de link tussen het serienummer gelegd is, kunnen aanvallers aan de slag met het beheerderswachtwoord. Het wachtwoord wordt geactiveerd tijdens het productieproces van de printers en er is geen manier om het lek via firmware volledig te dichten.
Brother heeft de productie van zijn printers intussen aangepast, zodat een serienummer-gebaseerd standaardwachtwoord niet meer wordt ingebakken. Enkel nieuwe toestellen zijn zo veilig van de bug. Gelukkig is er wel een andere heel eenvoudige oplossing: beheerders kunnen het standaardwachtwoord manueel veranderen naar iets anders. Daarmee is het probleem opgelost. Dat moeten ze dan wel bij alle getroffen printers doen.
Andere bugs
De andere kwetsbaarheden hebben te maken met verschillende kleinere bugs. De impact ervan is variabel. Het gaat onder meer om buffer overflows, denial-of-serviceproblemen en server-side request forgery (SSRF). Twee kwetsbaarheden laten een aanvaller toe om het toestel te laten crashen, wat de beschikbaarheid verstoort. Een andere kwetsbaarheid maakt het mogelijk om wachtwoorden van externe diensten zoals LDAP of FTP te onderscheppen, mits de aanvaller al toegang heeft.
Updates
Al deze bugs zijn wel oplosbaar met een firmware-update. Brother en de andere fabrikanten hebben updates voor de getroffen toestellen uitgerold. Iedere fabrikant deelt extra details over getroffen toestellen op specifieke pagina’s:
- Brother Laser en Inkjet Printer
- Brother Document Scanner
- Brother Label Printer
- Fujifilm Business Innovation
- Ricoh
- Toshiba
- Konica Minolta
Op dit moment zijn er nog geen indicaties van misbruik in het wild. Het spreekt voor zich dat je daarop niet moet wachten, en beschikbare beveiligingsupdates best meteen installeert.