Canon Warns of Critical Vulnerabilities in Printers: RCE & DoS Attacks
2024/02/05 SecurityOnline — 日本の画像処理/光学製品の大手である Canon の、オフィス/スモール・オフィス向け多機能プリンター/レーザープリンターに、7つの深刻なセキュリティ脆弱性が発見された。これらの脆弱性は、ビジネスを混乱させ、機密情報を危険にさらす可能性がある。
それらの境界外書き込みの脆弱性 (CVE-2023-6229 から CVE-2023-6234/CVE-2024-0244) は、CVSS スコア 9.8 とされており、脅威の深刻さが示唆されている。一連の脆弱性の悪用に成功した認証されていない攻撃者は、従来のセキュリティ対策をバイパスして、インターネットにダイレクトに接続されたデバイス上で、任意のコード実行/サービス運用妨害 (DoS:Denial-of-Service) などを可能にするという。
Canon は、「これらの脆弱性は、製品がルーター (有線/Wi-Fi) を使用せずに、インターネットにダイレクトに接続されている場合において、未認証のリモートの攻撃者に対して、任意のコード実行を許す可能性がある。あるいは、それらの製品に対する、インターネットを介したサービス運用妨害 (DoS) 攻撃が生じる可能性がある」と述べている。
これらの脆弱性の影響を受ける機器は、以下の通りだ:
- Satera LBP670C
- Satera MF750C(03.07 以下/日本国内で販売)
- Color imageCLASS LBP674C
- Color imageCLASS X LBP1333C
- Color imageCLASS MF750C
- Color imageCLASS X MF1333C(03.07 以下/米国で販売)
- i-SENSYS LBP673Cdw/C1333P
- i-SENSYS MF750C/C1333i (03.07 以下/欧州で販売)
これらの脆弱性は、以下の研究者たちと Trend Micro の Zero Day Initiative により発見され、Canon は謝辞を述べている:
- CVE-2023-6229:Nguyen Quoc (Viet)
- CVE-2023-6230:Anonymous
- CVE-2023-6231:Team Viettel
- CVE-2023-6232:ANHTUD
- CVE-2023-6233:ANHTUD
- CVE-2023-6234:Team Viettel
- CVE-2024-0244:NettitudeのConnor Ford (@ByteInsight)
一連の脆弱性を深刻に受け止めた Canon は、オフィスの資産を保護するためのガイダンスを提供している。同社が推奨しているのは、まずは Canon のプリンター製品に、プライベート IP アドレスを設定することだ。これにより、セキュリティのレイヤーが追加され、攻撃者が直接デバイスに到達することが、より困難になる。
さらに Canon は、ネットワーク・アクセスを効果的に制限できるファイアウォールや、有線/Wi-Fi ルーターで強化されたネットワーク環境の構築を勧めている。この対策により、外部からの不正アクセスからプリンターを保護できるとしている。
新たに発見された脆弱性の影響を受けるプリンターのユーザーにとって、 Canon のアドバイザリは、重要な呼びかけとなる。同社は、これらの脆弱性に対処するために設計されたファームウェア・アップデートを、リリースする計画について発表している。ユーザーに求められるのは、潜在的な悪用から機器を守るため、可能な限り早急に、これらのアップデートをインストールすることである。
プリンターなどのオフィス機器の、企業ネットワークへの統合が進むにつれて、強固なセキュリティ対策を維持することの重要性が、日々高まりつつある。
Canon における直近のインシデントは、2023/07/31 の「Canon インクジェット・プリンターの問題:初期化しても Wi-Fi 接続設定が消去されない」でした。いまや、プリンターは、外部の攻撃者から標的にされるデバイスとなってしまいました。利便性とリスクは、いつも背中合わせです。ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.