Une vulnérabilité de contournement d’authentification dans les imprimantes, codé en usine, peut être enchaînée avec un autre défaut pour l’exécution du code distant sur les appareils affectés.
Brother Industries est aux prises avec une vulnérabilité de contournement d’authentification critique affectant des centaines de modèles d’imprimantes différents, dont beaucoup utilisés dans les entreprises, permettant l’exécution de code distant non authentifié (RCE) sur les appareils lorsqu’ils sont enchaînés avec un autre défaut.
Le contournement du mot de passe administrateur découle d’un problème de fabrication et ne peut pas être corrigé par le micrologiciel selon Rapid7, la société de cybersécurité qui a découvert la vulnérabilité – ainsi que sept autres – affectant 689 modèles de périphériques différents.
L’une de ces vulnérabilités permet aux attaquants d’extraire le numéro de série d’une imprimante, et c’est à l’origine des problèmes du frère.
« Cela est dû à la découverte de la procédure de génération de mots de passe par défaut utilisée par Brother Devices », a déclaré Rapid7 dans un article de blog. «Cette procédure transforme un numéro de série en un mot de passe par défaut. Les périphériques affectés ont leur mot de passe par défaut, en fonction du numéro de série unique de chaque appareil, pendant le processus de fabrication.»
D’autres bogues sérieux découverts incluent les fuites d’informations, la contrefaçon de demande côté serveur, les défauts induisant des accidents et la divulgation des informations d’identification.
La pièce maîtresse de la divulgation de Rapid7 est CVE-2024-51978, une vulnérabilité évaluée (CVSS 9.8 sur 10) qui permet aux attaquants de dériver le mot de passe administrateur par défaut du numéro de série de l’appareil.
Bien que un autre des défauts découverts, une vulnérabilité de divulgation d’informations sur la gravité moyenne (CVE-2024-51977), permet potentiellement à un attaquant de fuir le numéro de série unique préalable via le HTTP, HTTPS de la cible, les services de gestion du réseau simple (PJL) ou le langage des imprimantes) ou PJL).
Une fois l’accès administratif atteint, il peut être utilisé pour exploiter CVE-2024-51979, un débordement de tampon basé sur la pile de haute sévérité (CVSS 7.2) accessible sur les mêmes interfaces (canaux de communication ou ports) que le premier.
Perme-ci-dessous de la sécurité
La combinaison de ces défauts permet efficacement l’exécution de code distant non authentifié car l’attaquant peut envoyer une entrée malveillante spécialement conçue via le débordement de mémoire.
Commentant la découverte, John Bambanek de Bambanek Consulting a noté que les imprimantes restent un angle mort typique de la sécurité informatique. « Les imprimantes sont souvent un appareil de type` `branchez-le et l’oubliez » et sont faciles à négliger les mises à jour et les correctifs de sécurité « , a-t-il déclaré. «Cependant, ils ont des systèmes d’exploitation et peuvent être utilisés pour des mouvements latéraux et de la persistance faciles par les attaquants qui veulent rester tranquillement dans un environnement cible.»
Rapid7 a noté que le chaînage de ces deux vulnérabilités donne aux attaquants un contrôle total sans avoir besoin d’identification ou d’accès physique.
Alors que Brother a abordé CVE-2024-51979 via des mises à jour du micrologiciel, la correction de CVE-2024-51978 CVE-2024-51978 aura besoin que les utilisateurs remplacent leur imprimante par un nouveau modèle sans défaut de fabrication.
« Le frère a indiqué que cette vulnérabilité ne peut pas être entièrement corrigée dans le firmware et a nécessité un changement dans le processus de fabrication de tous les modèles affectés », a déclaré Rapid7.
Frère n’a pas répondu à une demande de commentaires.
Des gouttes de données aux accidents de l’appareil complet
Rapid7 a identifié sept vulnérabilités supplémentaires dans les appareils Brother, allant de légèrement concernant à potentiellement perturber. Parmi les plus graves figurent les deux bogues de déni de service (DOS), CVE-2024-51982 et CVE-2024-51983 avec des scores CVSS de 7,5 chacun qui peuvent écraser les appareils via des entrées PJL ou HTTP malformées.
Deux autres, CVE-2024-51980 et CVE-2024-51981, permettent la contrefaçon de demande côté serveur (SSRF), permettant aux imprimantes d’envoyer des demandes fabriquées dans des réseaux internes à laquelle ils ne devraient pas parler. Dans les environnements d’entreprise, cela pourrait permettre aux attaquants de sonder les services internes, de contourner les contrôles d’accès ou de pivoter plus profondément dans le réseau. Enfin, CVE-2024-51984 expose des informations d’identification en texte clair pour des services tels que LDAP ou FTP aux utilisateurs authentifiés, offrant un point de départ potentiel pour un compromis plus large.
En plus de 689 modèles d’imprimantes frère, de scanners et de fabricants d’étiquettes, certaines des vulnérabilités affectent 46 modèles de Fujifilm, 5 de Ricoh, 2 de Toshiba Tec et 6 de Konica Minolta.
À l’exception de la faille de contournement de l’administrateur de Brother, toutes les vulnérabilités ont été abordées par le biais de mises à jour respectives du micrologiciel, a ajouté Rapid7.
David Matalon, PDG de Venn, prévient que la sécurité des environnements de travail à distance s’étend bien au-delà des ordinateurs portables. « Les imprimantes dans les bureaux à domicile, souvent négligées, peuvent devenir de graves points d’exposition, d’autant plus que les périphériques sont presque toujours compatibles WiFI », a-t-il déclaré. «Les organisations doivent se concentrer sur la rétrécissement de cette menace et prendre en compte les stratégies pour garantir que les données de leur entreprise sont protégées indépendamment de l’appareil dans lequel il se trouve, ou le réseau domestique de l’utilisateur qui peut être utilisé pour y accéder.»
Ensuite, lisez ceci:
- Une nouvelle attaque de la «Chambre d’écho» peut tromper GPT, Gemini pour enfreindre les règles de sécurité
- Les défauts de GUI SAP exposent des données sensibles via un cryptage faible ou pas
- Les États-Unis en informent un pour le rôle dans BreachForums, la France arrête quatre autres
