ブラザーやリコーのプリンタなど748製品に緊急脆弱性、アップデートを

Rapid7は6月26日(米国時間)、「Multiple Brother Devices: Multiple Vulnerabilities (FIXED) - Rapid7 Blog」において、ブラザー工業(brother)をはじめとする日本メーカーの複数製品から緊急の脆弱性を発見したと報じた。

発見された脆弱性は合計8件。ブラザーのプリンタ、スキャナー、ラベルメーカーの合計689機種、富士フイルムビジネスイノベーションのプリンタ46機種、リコー(RICHO)のプリンタ5機種、東芝テックのプリンタ2機種、コニカミノルタのプリンタ6機種に影響するとされる。

これら脆弱性を悪用されると、遠隔から認証されていない第三者にデバイス設定の変更、リモートコード実行(RCE: Remote Code Execution)、ネットワークへの侵入、サービス運用妨害(DoS: Denial of Service)、外部サービスの認証情報窃取などを実行される可能性がある。

• 

  Multiple Brother Devices: Multiple Vulnerabilities (FIXED) - Rapid7 Blog

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

• (PDF) Print Scan Hacks: Identifying multiple vulnerabilities across multiple Brother devices - Rapid7

各社が公開したセキュリティアドバイザリーは次のとおり。

• ブラザー工業(レーザーおよびインクジェットプリンター)
• ブラザー工業(ドキュメントスキャナー)
• ブラザー工業(ラベルプリンター)
• 富士フイルムビジネスイノベーション
• リコー
• 東芝テック
• コニカミノルタ

脆弱性の情報(CVE)は次のとおり。

• CVE-2024-51977 - 機密情報開示の脆弱性。HTTP、HTTPS、IPPのいずれかのプロトコルでアクセスできる認証されていない攻撃者は、デバイスのモデル、ファームウェアバージョン、IPアドレス、シリアル番号を窃取できる可能性がある(CVSSスコア: 5.3)
• CVE-2024-51978 - 弱い認証情報使用の脆弱性。デバイスのシリアル番号を知っている認証されていない攻撃者は、デバイスのデフォルト管理者パスワードを生成することができる。シリアル番号はCVE-2024-51977、PJLリクエスト、SNMPリクエストのいずれかで窃取することができる(CVSSスコア: 9.8)
• CVE-2024-51979 - スタックベースのバッファーオーバーフローの脆弱性。認証されたリモートの攻撃者は、細工したリクエストを送信することでバッファーオーバーフローを引き起こす可能性がある(CVSSスコア: 7.2)
• CVE-2024-51980 - サーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)の脆弱性。認証されていない攻撃者は、任意のIPアドレス、任意のポート番号へのTCPコネクションを開かせる可能性がある。送受信されるデータを制御することはできないが、内部ネットワークのTCPポートスキャンに利用できる(CVSSスコア: 5.3)
• CVE-2024-51981 - サーバーサイドリクエストフォージェリー(SSRF)およびCLRFインジェクションの脆弱性。攻撃者はSSRF接続で送信されるすべてのHTTPデータを制御できるが、データを受信することはできない(CVSSスコア: 5.3)
• CVE-2024-51982 - 入力データの不適切な検証の脆弱性。TCPポート9100に接続できる認証されていない攻撃者は、不正なコマンドを発行することでデバイスをクラッシュさせることができる(CVSSスコア: 7.5)
• CVE-2024-51983 - 入力データの不適切な検証の脆弱性。HTTP接続できる認証されていない攻撃者は、不正なリクエストを発行することでデバイスをクラッシュさせることができる(CVSSスコア: 7.5)
• CVE-2024-51984 - 不十分な認証情報保護の脆弱性。認証された攻撃者は、攻撃者の制御下にある外部サービスを使用するようにデバイスを再設定できる。再設定以前から外部サービスを利用していた場合、その認証情報を攻撃者に開示する可能性がある(CVSSスコア: 6.8)

影響と対策

これら脆弱性は総計748機種に影響する。具体的な機種名、ファームウェアバージョンについては、各社発表のアドバイザリーから確認する必要がある。

Rapid7は脆弱性の概念実証(PoC: Proof of Concept)コードを「GitHub - sfewer-r7/BrotherVulnerabilities: Multiple Brother Devices: Multiple Vulnerabilities (CVE-2024-51977, CVE-2024-51978, CVE-2024-51979, CVE-2024-51980, CVE-2024-51981, CVE-2024-51982, CVE-2024-51983, CVE-2024-51984)」にて公開しており注意が必要。影響を受ける製品を利用している管理者には、速やかにファームウェアをアップデートすることが推奨されている。

なお、深刻度が緊急(Critical)と評価されている脆弱性「CVE-2024-51978」については、ファームウェアアップデートで完全に修正することはできないとされる。ブラザー工業は影響を受けるデバイスの管理者に対し、回避策としてデフォルトの管理者パスワードを変更するように推奨している(参考：「【インクジェット/レーザー プリンター・スキャナー】WebBasedManagementで、ネットワーク上のブラザー製品を管理する方法｜ブラザー」)。