ブラザーのプリンター約700機種に、深刻なセキュリティ上の欠陥が複数存在することが判明しました。これらの欠陥により、攻撃者がネットワーク上の他のデバイスにアクセスし、場合によってはユーザーのドキュメントにアクセスされる可能性があります。富士フイルム、東芝、リコー、コニカミノルタ製のプリンターの一部機種にも同様の脆弱性が存在します。

サイバーセキュリティ企業 Rapid7 は、ブラザーのプリンター 689 台と他社のプリンター 46 台に影響を及ぼす 8 つの脆弱性を発見しました。

最もひどいのは、各プリンターのデフォルトのパスワードがシリアル番号から派生していることですが、その方法が今や発見されました。

発見された脆弱性の中で最も深刻なのは、認証バイパス（CVE-2024-51978）です。認証されていないリモート攻撃者が、複数の手段のいずれかを用いて標的デバイスのシリアル番号を漏洩し、標的デバイスのデフォルトの管理者パスワードを生成する可能性があります。これは、ブラザーデバイスで使用されているデフォルトのパスワード生成手順が発見されたことに起因しています。この手順により、シリアル番号がデフォルトのパスワードに変換されます。

Brother によれば、この問題はファームウェアのアップデートでは修正できないため、解決するにはプリンターのパスワードを手動で変更するしかないとのことです。

残りの脆弱性は、プリンターをクラッシュさせたり、より深刻なケースでは、ネットワーク上で稼働している他のデバイスやサービスへのアクセスを許してしまう可能性があります。最悪の場合、攻撃者はネットワーク上に保存されているパスワードにアクセスし、それを使ってクラウドサーバーに保存されているドキュメントにアクセスしてしまう可能性があります。

パスバック脆弱性（CVE-2024-51984）により、リモート認証された攻撃者は、LDAPやFTPなどの複数の設定済み外部サービスの平文認証情報を入手することが可能となります。この脆弱性を悪用されると、攻撃者はネットワーク環境への侵入を試みるために追加の認証情報を入手してしまいます。外部FTPサービスの認証情報の場合、これらの認証情報は、そのFTPサービスに保存されている文書などの機密情報を漏洩するために使用される可能性があります。

自分を守る方法

ブラザー社によれば、8つの脆弱性のうち7つはファームウェアのアップデートで修正できるため、すべてのユーザーがアップデートを行う必要があるとのことだ。

ただし、デフォルトのパスワード生成の欠陥は修正できないため、まだ変更していない場合は今すぐ変更してください。

注目の取引

• Amazonで購入可能なプリンター
• Anker 511 Nano Pro 超小型iPhone充電器
• iPhone 16モデル用25W出力のApple MagSafe充電器
• 上記に対応するApple 30W充電器
• Anker 240W 編組 USB-C - USB-C ケーブル

画像: 9to5MacによるBrotherとJakub Żerdzickiの画像コラージュ（Unsplashより）

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。