Canon, küçük ofis çok işlevli yazıcılarını ve lazer yazıcılarını etkileyen yedi kritik arabellek taşması hatasını düzeltti.
CVE-2023-6229’dan CVE-2023-6234’e (artı CVE-2024-0244) kadar izlenen bu işlemler, Canon’un ürün gruplarında ortak olan farklı süreçleri etkiler; örneğin, Hizmet Konumu Protokolü gibi, mobil cihazların kimliğinin doğrulanmasıyla ilgili kullanıcı adı veya parola işlemi. (SLP) özellik isteği süreci ve daha fazlası.
Şirket, bunların hepsine Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) ölçeğinde 10 üzerinden 9,8 “kritik” notu verdi. Açıklandığı gibi güvenlik tavsiyesikimliği doğrulanmamış saldırganların doğrudan Internet’e bağlı etkilenen yazıcılara karşı uzaktan hizmet reddi (DoS) gerçekleştirmesine veya rastgele kod yürütmesine olanak tanıyabilirler. Ayrıca kurban ağlarının derinliklerine inmek için kullanışlı bir pivot noktası da sunuyorlar.
Şu ana kadar vahşi doğada herhangi bir istismar gözlemlenmedi. şirketin Avrupa sitesiancak hataların kamuya açık olduğu ancak aylardır yama yapılmadığı göz önüne alındığında, sahiplerin güvenlik ihlali göstergelerini taraması gerekir.
Başa Çıkılması Zor: Yazıcı Güvenliği Sorunu
5 Şubat’ta yamalanan yedi güvenlik açığı, düzinelerce diğer güvenlik açığıyla birlikte ortaya çıktı. Pwn2Own Toronto’nun SOHO Smashup’ı Geçen yaz yarışmacıların yönlendiricileri ve ardından bağlandıkları küçük ofis/ev ofis (SOHO) cihazlarını ihlal etmeye davet edildiği yer.
Yazıcılar, nadiren tanınan Siber saldırılar için verimli zeminlerEtkinlikte , kendi kategorileri verildi.
“Şu anda oldukça geniş bir saldırı yüzeyi var Sıklıkla gözden kaçanPwn2Own bilgisayar korsanlığı yarışmasını yürüten Trend Micro’nun Zero Day Initiative (ZDI) tehdit farkındalığı başkanı Dustin Childs şöyle açıklıyor: “Özellikle küçük işletmelerde, çünkü bunu kurumsal düzeyde yönetmek zordur.” “Demek istediğim, yazıcılar gibi değil bunları temiz ve kolay bir şekilde yönetmek için kullanabileceğiniz otomatik güncellemelere veya diğer özelliklere sahip olun.”
Şunları ekliyor: “Yazıcılar her zaman titizlikleriyle meşhur olmuşlardır. Office Space’e geri dönebilirsiniz; beyzbol sopasını yazıcıya götürdüm. Bu bir şaka ama gerçekliğe dayanan bir şaka. Bu şeyleri yönetmek zordur. Sürücüleri yönetmek zordur. Ve üzerlerinde pek çok sorunlu yazılım var.”
Sonuç olarak, küçük veya orta ölçekli işletme (KOBİ) ağındaki diğer, daha hassas cihazlara bağlı eski bir ofis yazıcısının kırılması oldukça önemsiz olma eğilimindedir.
Childs, Pwn2Own Toronto’yu şöyle anımsıyor: “Gerçekten işe yarar istismarlar bulmak için üzerinde ne kadar az çalışmak zorunda kaldıklarını görünce biraz şaşırdım.” Bir örnek olarak: “Geçen yıl birisi Mario temasını bir yazıcıda oynadı. Ve Mario temasını nasıl oynayacağını bulmasının, yazıcıyı kullanmaktan daha uzun sürdüğünü söyledi.”
Yazıcı Güvenliği Kaosuna Karşı KOBİ’ler Ne Yapabilir?
Canon, en son donanım yazılımına güncelleme gibi bariz bir adımın ötesinde, müşterilerine “ürünler için özel bir IP adresi ayarlamalarını ve ağ erişimini kısıtlayabilecek bir güvenlik duvarı veya kablolu/Wi-Fi yönlendiricisi olan bir ağ ortamı oluşturmalarını” tavsiye ediyor.
Tavsiye daha büyük bir noktaya işaret ediyor: Yazıcılar kalın ve hantal olsa bile yönetilebilir olan şey onların bağlantılarıdır.
“İster inanın ister inanmayın, İnternet’e adreslenebilir yazıcılar vardı. İşletmelerin yaptığı şey, yazıcıları İnternet’ten çıkarmak oldu; bu son on yılda bir değişiklik oldu. Şimdi onları geride bıraktık. en azından bir güvenlik duvarı veya yönlendirici veya bir şey” diye açıklıyor Childs.
Ancak şunları ekliyor: “Gördüğümüz gibi PrintNightmare ve diğer yazıcı tabanlı istismarlar, bu güvenlik duvarını aşabilir ve ardından bir yazıcıya saldırabilir, ardından bundan kuruluş içindeki diğer hedeflere geçebilirsiniz.” Yazıcı güvenliğinin ağa daha fazla ulaşmasını önlemek için KOBİ’lerin, ağlarının farklı alanlarını düzgün bir şekilde bölümlere ayırmaya odaklanması gerekir.
Bu arada yazıcıları korumanın en iyi yolu yama yapmaktır. Childs’ın hatırladığı gibi, “Üç veya dört güncelleme geride kalan yazıcıların istismar edildiğini kaç kez duyduğumu size anlatamam.”