Unpatched Epson Devices at Risk: CVE-2024-47295 Allows Easy Hijacking
2024/11/11 SecurityOnline — EPSON 製品群に影響を及ぼす、新たな脆弱性 CVE-2024-47295 (CVSS:8.1) を悪用する攻撃者により、管理特権を持つデバイスが制御される可能性が生じている。この問題は、ネットワーク接続されたプリンターやスキャナーなどのデバイスの、コンフィグレーションを管理する Web Config ソフトウェアの、安全が確保されないイニシャル・パスワード設定に起因している。
Web Config は、Web ブラウザ経由で EPSON デバイス群を管理するめのツールである。影響を受ける機種では、デバイスに管理者パスワードが設定されていないため、Web Config の設定を行わずにネットワークに接続すると、そのネットワーク上の任意のユーザーによる新たなパスワード設定が可能となり、デバイスの制御を奪われる恐れが生じる。
この脆弱性に関する報告書には、「影響を受ける製品の、管理者パスワードが空白の状態で、Web Config 経由でデバイスにアクセスすると、攻撃者による管理者パスワードを設定が可能になる。その結果として、攻撃者に管理者権限が奪われ、デバイス設定を変更や、操作の妨害が可能となり、さらには、そのデバイスを踏み台にした広範なネットワーク攻撃が生じる恐れがある」と記されている。
現時点において、この脆弱性に対するパッチは提供されていない。そのため、EPSON がユーザーに対して警告するのは、それらのデバイスをネットワークに接続する際には、管理者パスワードの設定が必須になるという点だ。同社のセキュリティ・ガイドブックでは、この手順を強く推奨しており、インストール・プロセスの “セクション 3” で、その重要性を説明している。Web Config の設定を構成し、デバイスを強力なパスワードで保護することで、ユーザーは不正アクセスを効果的に防ぎ、この脆弱性の影響を軽減できる。
EPSON は回避策を強調しているが、ネットワーク接続された、すべてのデバイスに対して警戒を怠らないようにすべきである。セキュリティ対策が施されていない、プリンターなどの周辺機器や IoT デバイスは、サイバー犯罪者にとって格好の標的となり得る。この脆弱性に関連するリスクは高いため、ベスト・プラクティスの適用が重要である。
すべてのユーザーに対して強く推奨されるのは、パッチが適用されるまでの間、以下の対策を講じて、リスクを軽減することである:
- 定期的な監視:デバイス・コンフィグやネットワーク・トラフィックを定期的に確認し、不正な変更や疑わしいアクティビティの有無を確認する。
- 強力かつ固有のパスワードの設定:デバイスの初期設定時に、複雑で推測されにくいパスワードを使用し、デフォルトのパスワードを避け、簡単に推測されるパスワードを避ける。
- ネットワーク・アクセスの制限:デバイスへのアクセスを、信頼できるユーザー/ネットワークだけに制限し、露出を最小限に抑える。
EPSON の製品群に存在するコンフィグ関連の脆弱性ですが、11月11日の時点ではパッチが適用されていないとのことです。ご利用のチームは、緩和策の適用を、ご検討ください。このところ、日本メーカーのプリンターに、立て続けに脆弱性が発生しています。よろしければ、2024/10/28 の「Sharp/Toshiba 複合機の複数の脆弱性が FIX:直ちにアップデートを!」と、2024/11/03 の「Ricoh Web Image Monitor の脆弱性 CVE-2024-47939 が FIX:プリンター/複合機に影響」を、Printer で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.