Un total de 689 modelos de impresora de Brother, junto con otros 53 modelos de Fujifilm, Toshiba y Konica Minolta, vienen con una contraseña de administrador predeterminada que los atacantes remotos pueden generar. Peor aún, no hay forma de arreglar el defecto a través del firmware en las impresoras existentes.
El defecto, rastreado debajo CVE-2024-51978es parte de un conjunto de ocho vulnerabilidades descubierto por los investigadores de Rapid7 Durante un largo examen del hardware hermano.
CVe
Descripción
Servicio afectado
CVSS
CVE-2024-51977
Un atacante no autenticado puede filtrar información confidencial.
HTTP (puerto 80), HTTPS (puerto 443), IPP (puerto 631)
5.3 (medio)
CVE-2024-51978
Un atacante no autenticado puede generar la contraseña de administrador predeterminada del dispositivo.
HTTP (puerto 80), HTTPS (puerto 443), IPP (puerto 631)
9.8 (crítico)
CVE-2024-51979
Un atacante autenticado puede activar un desbordamiento del búfer basado en pila.
HTTP (puerto 80), HTTPS (puerto 443), IPP (puerto 631)
7.2 (alto)
CVE-2024-51980
Un atacante no autenticado puede obligar al dispositivo a abrir una conexión TCP.
Servicios web sobre HTTP (puerto 80)
5.3 (medio)
CVE-2024-51981
Un atacante no autenticado puede obligar al dispositivo a realizar una solicitud HTTP arbitraria.
Servicios web sobre HTTP (puerto 80)
5.3 (medio)
CVE-2024-51982
Un atacante no autenticado puede bloquear el dispositivo.
PJL (puerto 9100)
7.5 (alto)
CVE-2024-51983
Un atacante no autenticado puede bloquear el dispositivo.
Servicios web sobre HTTP (puerto 80)
7.5 (alto)
CVE-2024-51984
Un atacante autenticado puede revelar la contraseña de un servicio externo configurado.
LDAP, FTP
6.8 (medio)
Esta vulnerabilidad crucial se puede encadenar con otras vulnerabilidades descubiertas por RAPID7 para determinar la contraseña de administración, tomar el control de los dispositivos, realizar la ejecución del código remoto, bloquearlos o pivotar dentro de las redes a las que están conectadas.
No todos los defectos afectan cada uno de los 689 modelos de impresoras hermano, pero otros fabricantes, incluidos Fujifilm (46 modelos), Konica Minolta (6), Ricoh (5) y Toshiba (2) también se ven afectados.
Número de modelos afectados para cada uno de los ocho defectosFuente: Rapid7
Generación de contraseñas inseguras
La contraseña predeterminada en las impresoras afectadas se genera durante la fabricación utilizando un alogirthm personalizado basado en el número de serie del dispositivo.
Según un análisis técnico detallado Por Rapid7, el algoritmo de generación de contraseñas sigue un proceso fácilmente reversible:
Tome los primeros 16 caracteres del número de serie.
Adjunte 8 bytes derivados de una tabla estática de «sal».
Hash el resultado con SHA256.
Base64-ENCODE el hash.
Tome los primeros ocho caracteres y sustituya algunas letras con caracteres especiales.
Los atacantes pueden filtrar el número de serie de la impresora objetivo utilizando varios métodos o explotando CVE-2024-51977. Luego pueden usar el algoritmo para generar la contraseña de administrador predeterminada e iniciar sesión como administrador.
A partir de ahí, pueden reconfigurar la impresora, acceder a escaneos almacenados, leer libros de direcciones, explotar CVE-2024-51979 para la ejecución de código remoto o explotación CVE-2024-51984 para cosechar credenciales.
Rapid7 comenzó su proceso de divulgación en mayo de 2024 y fue ayudado por JPCERT/CC para coordinar divulgaciones a otros fabricantes.
Aunque todos los defectos se han solucionado en las actualizaciones de firmware disponibles por los fabricantes impactados, el caso con CVE-2024-51978 es complicado en términos de gestión de riesgos.
La vulnerabilidad se basa en la lógica de generación de contraseñas utilizada en la fabricación de hardware y, por lo tanto, cualquier dispositivo realizado antes de su descubrimiento tendrá contraseñas predecibles a menos que los usuarios las cambien.
«Brother ha indicado que esta vulnerabilidad no puede remediarse completamente en el firmware, y ha requerido un cambio en el proceso de fabricación de todos los modelos afectados», explica Rapid7 con respecto a CVE-2024-51978.
Los usuarios de las impresoras hermanas existentes enumeradas en los modelos impactados deben considerar sus dispositivos vulnerables e inmediatamente cambiar la contraseña de administrador predeterminada, seguido de la aplicación de las actualizaciones de firmware.
En general, se recomienda restringir el acceso a las interfaces de administración de la impresora sobre protocolos no garantizados y redes externas.
Boletines de seguridad con instrucciones sobre lo que los usuarios deben hacer están disponibles Hermano, Konica Minolta, Fujifilm, Ricohy Toshiba.
El parche solía significar scripts complejos, largas horas y simulacros de fuego interminables. Ya no.
En esta nueva guía, Tines desglosa cómo las organizaciones modernas de TI están subiendo de nivel con la automatización. Parche más rápido, reduzca la sobrecarga y concéntrese en el trabajo estratégico, no se requieren scripts complejos.
Obtenga la guía gratuita