Satu pelanggaran keselamatan yang ketara telah muncul dalam industri pencetak, dengan penyelidik keselamatan siber menemui pelbagai kelemahan yang mendedahkan beratus ribu peranti kepada kemungkinan serangan jauh. Penemuan ini menyerlahkan kecacatan asas dalam cara pengilang mendekati keselamatan peranti, terutamanya berkaitan sistem penjanaan kata laluan lalai yang kekal tidak berubah selama bertahun-tahun.
Kelemahan Kritikal Tidak Dapat Diperbaiki Melalui Kemas Kini Perisian
Syarikat keselamatan Rapid7 telah mengenal pasti lapan kelemahan berbeza merentasi 748 model pencetak daripada lima pengilang utama, dengan kecacatan paling teruk menerima penarafan CVSS kritikal sebanyak 9.8. Kelemahan tersebut, yang ditetapkan sebagai CVE-2024-51978, membolehkan penyerang menjana kata laluan pentadbir lalai peranti dengan hanya menggunakan nombor siri pencetak. Ini mewakili kecacatan reka bentuk asas yang tidak dapat diselesaikan melalui kemas kini perisian tegar tradisional, kerana algoritma penjanaan kata laluan tertanam dalam proses pembuatan itu sendiri.
Brother telah mengakui bahawa kelemahan khusus ini tidak dapat dipulihkan sepenuhnya dalam perisian tegar dan hanya akan ditangani melalui perubahan kepada proses pembuatan masa hadapan. Ini bermakna peranti sedia ada di rumah dan pejabat di seluruh dunia kekal terdedah secara kekal melainkan pengguna mengambil tindakan segera untuk menukar kata laluan lalai mereka.
Pecahan Kelemahan:
- CVE-2024-51978: Kritikal (CVSS 9.8) - Kelemahan penjanaan kata laluan lalai yang tidak boleh ditampal
- CVE-2024-51977: Pendedahan maklumat - Boleh ditampal
- CVE-2024-51979: Pelaksanaan kod jarak jauh - Boleh ditampal
- CVE-2024-51980: Akses tanpa kebenaran - Boleh ditampal
- CVE-2024-51981: Manipulasi konfigurasi - Boleh ditampal
- CVE-2024-51982: Penafian Perkhidmatan - Boleh ditampal
- CVE-2024-51983: Penafian Perkhidmatan - Boleh ditampal
- CVE-2024-51984: Kecurian kelayakan - Boleh ditampal
Kesan Meluas Merentasi Pelbagai Pengilang
Kecacatan keselamatan ini menjejaskan 689 model pencetak Brother , mewakili majoriti besar peranti yang terjejas. Selain itu, 59 model daripada pengilang lain termasuk Fujifilm Business Innovation , Ricoh , Toshiba Tec , dan Konica Minolta juga terdedah. Skop masalah ini melangkaui pencetak tradisional untuk merangkumi pengimbas dan peranti pembuat label, menunjukkan bahawa isu keselamatan asas adalah sistemik merentasi industri.
Kelemahan ini membolehkan penyerang melakukan pelbagai aktiviti berniat jahat sebaik sahaja mereka memperoleh akses, termasuk mendapatkan maklumat sensitif, meruntuhkan peranti dari jauh, menjalinkan sambungan rangkaian tanpa kebenaran, melaksanakan permintaan HTTP sewenang-wenangnya, dan mencuri kata laluan untuk perkhidmatan rangkaian yang disambungkan. Keupayaan ini boleh membolehkan penjenayah siber menggunakan pencetak yang terjejas sebagai titik masuk ke dalam rangkaian korporat atau untuk mengakses dokumen sulit.
Bilangan Peranti Terjejas Mengikut Pengilang:
- Brother : 689 model (pencetak, pengimbas, pembuat label)
- Fujifilm Business Innovation : 46 pencetak
- Ricoh : 5 pencetak
- Toshiba Tec : 2 peranti
- Konica Minolta : 6 model
- Jumlah peranti terjejas: 748 model merentasi 5 pengilang
Penyelesaian Separa Tersedia Untuk Kebanyakan Kelemahan
Walaupun kelemahan utama kekal tidak dapat diperbaiki, Brother dan pengilang lain yang terjejas telah mengeluarkan kemas kini perisian tegar yang menangani tujuh daripada lapan kecacatan yang ditemui. Kemas kini ini menangani isu termasuk pendedahan maklumat, pelaksanaan kod jauh, serangan penafian perkhidmatan, dan kecurian kelayakan. Pengguna boleh memuat turun kemas kini ini dari halaman sokongan pengilang masing-masing, walaupun proses pemasangan berbeza mengikut model dan mungkin memerlukan kepakaran teknikal.
Kelemahan yang tinggal dan tidak dapat diperbaiki hanya boleh dikurangkan melalui tindakan pengguna. Pengilang sangat mengesyorkan agar semua pengguna segera menukar kata laluan pentadbir lalai pencetak mereka melalui antara muka pengurusan berasaskan web peranti. Langkah mudah ini berkesan meneutralkan ancaman, kerana penyerang tidak lagi dapat menggunakan kata laluan lalai yang boleh diramal walaupun mereka memperoleh nombor siri peranti.
Garis Masa:
- Mei 2024: Rapid7 menemui kelemahan keselamatan
- 25 Jun 2024: Pendedahan awam mengenai kelemahan keselamatan
- Status semasa: Kemas kini perisian tegar tersedia untuk 7 daripada 8 kelemahan
- Pembaikan masa hadapan: Perubahan proses pembuatan untuk peranti baharu sahaja
Implikasi Keselamatan Seluruh Industri
Penemuan ini menimbulkan persoalan yang lebih luas tentang amalan keselamatan dalam ekosistem Internet of Things , di mana banyak peranti dihantar dengan kelayakan lalai yang lemah yang jarang diubah suai oleh pengguna. Hakikat bahawa kelemahan kritikal tidak dapat ditampal menyerlahkan kepentingan prinsip selamat-mengikut-reka bentuk dalam proses pembuatan. Pakar keselamatan menekankan bahawa insiden ini harus berfungsi sebagai peringatan untuk kedua-dua pengilang dan pengguna tentang kepentingan menukar kata laluan lalai pada semua peranti yang disambungkan, bukan sahaja komputer dan penghala.
Garis masa pendedahan, dengan Rapid7 mula-mula mengenal pasti isu pada Mei 2024 dan mengeluarkan butiran secara terbuka pada Jun, mengikuti amalan pendedahan yang bertanggungjawab yang membolehkan pengilang masa untuk membangunkan pembaikan separa sebelum pengumuman awam. Walau bagaimanapun, kegigihan kelemahan yang tidak dapat diperbaiki bermakna pendidikan pengguna dan langkah keselamatan proaktif kekal sebagai pertahanan utama terhadap kemungkinan serangan.
