Dünya çapında işletmeler ve kuruluşlar tarafından kullanılan Toshiba e-STUDIO Çok Fonksiyonlu Yazıcılarda (MFP’ler) birçok yeni güvenlik açığı keşfedildi.
Bu güvenlik açıkları 103 farklı Toshiba Çok Fonksiyonlu Yazıcı modelini etkiliyor.
Belirlenen güvenlik açıkları arasında Uzaktan Kod Yürütme, XML Harici Varlık Enjeksiyonu (XXE), Ayrıcalık Yükseltme, Kimlik Doğrulama kimlik bilgisi sızıntısı, DOM tabanlı XSS, Güvenli Olmayan İzinler, TOCTOU (Kontrol Zamanından Kullanım Zamanına) koşulları ve daha pek çok güvenlik açığı yer alıyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Toshiba Çok Fonksiyonlu Yazıcılar
Cyber Security News ile paylaşılan raporlara göre, CVE-2024-27171 ve CVE-2024-27180, üçüncü taraf uygulama sistemlerinin uygulanmasını ve ayrıca Toshiba Yazıcılarda varsayılan olarak yüklenen üçüncü taraf uygulamalarını etkiliyor.
Bir tehdit aktörü, birden fazla güvenlik açığı kullanarak Toshiba Çok İşlevli yazıcıları istismar edebilir. Etkilenen Toshiba MFP modellerinin listesi aşağıdaki gibidir:
| 2021AC | 4528AG | 3515AC | 5018A | 3005AC | 3508LP |
| 2521AC | 5528A | 3615AC | 5118A | 3505AC | 4508LP |
| 2020AC | 6528A | 4515AC | 5516AC | 4505AC | 5008LP |
| 2520AC | 6526AC | 4615AC | 5616AC | 5005AC | |
| 2025NC | 6527AC | 5015AC | 6516AC | 2008A | |
| 2525AC | 7527AC | 5115AC | 6616AC | 2508A | |
| 3025AC | 6529A | 2018A | 7516AC | 3008A | |
| 3525AC | 7529A | 2518A | 7616AC | 3008AG | |
| 3525ACG | 9029A | 2618A | 5518A | 3508A | |
| 4525AC | 330 AC | 3018A | 5618A | 3508AG | |
| 4525ACG | 400AC | 3118A | 6518A | 4508A | |
| 5525AC | 2010AC | 3018AG | 6618A | 4508AG | |
| 5525ACG | 2110AC | 3518A | 7518A | 5008A | |
| 6525AC | 2510AC | 3518AG | 7618A | 5506AC | |
| 6525ACG | 2610AC | 3618A | 8518A | 6506AC | |
| 2528A | 2015NC | 3618AG | 8618A | 7506AC | |
| 3028A | 2515AC | 4518A | 2000 AC | 5508A | |
| 3528A | 2615AC | 4518AG | 2500AC | 6508A | |
| 3528AG | 3015AC | 4618A | 2005NC | 7508A | |
| 4528A | 3115AC | 4618AG | 2505 AC | 8508A |
Ayrıca, yazıcıların fiziksel güvenliğinin analiz edilmediği ve en son ürün yazılımı sürümlerini çalıştıran farklı modellerde güvenlik açıklarının doğrulandığı da belirtildi.
- e-STUDIO2010AC
- e-STUDIO3005AC
- e-STUDIO3508A
- e-STUDIO5018A
Ayrıca, tüm bu yazıcılar Linux’ta çalışır ve güçlüdür; tehdit aktörleri bunları altyapıların içinde yatay olarak hareket etmek için kullanabilirler.
Toshiba’ya 40 güvenlik açığı bildirildi ve bu güvenlik açıklarını gidermek için gerekli güvenlik önerileri yayınlandı.
- CVE-2024-27141 – Önceden kimliği doğrulanmış Kör XML Harici Varlık (XXE) yerleştirme – DoS
- CVE-2024-27142 – Önceden kimliği doğrulanmış XXE enjeksiyonu
- CVE-2024-27143 – Kök olarak önceden kimliği doğrulanmış Uzaktan Kod Yürütme
- CVE-2024-27144 – Kök veya Apache olarak önceden kimlik doğrulaması yapılmış uzaktan kod yürütme ve birden fazla yerel ayrıcalık yükseltmesi
4.1. Uzaktan Kod Yürütme – WSGI Python programlarına yeni bir .py modülünün yüklenmesi
4.2. Uzaktan Kod Yürütme – WSGI Python programlarının içine yeni .ini yapılandırma dosyalarının yüklenmesi
4.3. Uzaktan Kod Çalıştırma – Kötü amaçlı bir betik /tmp/backtraceScript.sh’nin yüklenmesi ve kötü amaçlı gdb komutlarının enjekte edilmesi
4.4. Uzaktan Kod Çalıştırma – Kötü amaçlı bir /home/SYSROM_SRC/build/common/bin/sapphost.py programının yüklenmesi
4.5. Uzaktan Kod Yürütme – Kötü amaçlı kitaplıkların yüklenmesi
4.6. Uzaktan Kod Yürütme almanın diğer yolları - CVE-2024-27145 – Kök olarak birden fazla kimlik doğrulaması yapılmış uzaktan kod yürütme
- CVE-2024-27146 – Ayrıcalık ayrımının olmaması
- CVE-2024-27147 – snmpd kullanarak Yerel Ayrıcalık Yükseltmesi ve Uzaktan Kod Yürütme
- CVE-2024-27148 – Güvenli olmayan PATH kullanılarak Yerel Ayrıcalık Yükseltme ve Uzaktan Kod Yürütme
- CVE-2024-27149 – Güvenli olmayan LD_PRELOAD kullanılarak Yerel Ayrıcalık Yükseltme ve Uzaktan Kod Yürütme
- CVE-2024-27150 – Güvenli olmayan LD_LIBRARY_PATH kullanarak Yerel Ayrıcalık Yükseltme ve Uzaktan Kod Yürütme
- CVE-2024-27151 – 106 program için güvenli olmayan izinler kullanılarak Yerel Ayrıcalık Yükseltme ve Uzaktan Kod Yürütme
11.1. 3 güvenlik açığı olan program root olarak çalışmıyor
11.2. 103 root olarak çalışan güvenlik açığı olan programlar - CVE-2024-27152 – Kütüphaneler için güvenli olmayan izinler kullanan Yerel Ayrıcalık Yükseltmesi ve Uzaktan Kod Yürütme
12.1. /home/SYSROM_SRC/bin/syscallerr ile örnek - CVE-2024-27153 – CISSM kullanarak Yerel Ayrıcalık Yükseltme ve Uzaktan Kod Yürütme
- CVE-2024-27154 ve CVE-2024-27155 – Açık metinli günlüklerde ve güvenli olmayan günlüklerde saklanan şifreler
14.1. Bir kullanıcı yazıcıya giriş yaptığında günlüklere yazılan açık metinli parola
14.2. Parola değiştirildiğinde günlüklere yazılan açık metinli parola - CVE-2024-27156 – /ramdisk/work/log dizinindeki güvenli olmayan günlüklerdeki kimlik doğrulama oturumlarında sızıntı
- CVE-2024-27157 – /ramdisk/al/network/log dizinindeki güvenli olmayan günlüklerde kimlik doğrulama oturumlarının sızdırılması
- CVE-2024-27158 – Sabit kodlanmış kök parolası
- CVE-2024-27159 – Günlükleri şifrelemek için kullanılan sabit kodlu parola
- CVE-2024-27160 – Günlükleri şifrelemek için kullanılan sabit kodlu parola ve zayıf bir özet şifresinin kullanımı
- CVE-2024-27161 – Dosyaları şifrelemek için kullanılan sabit kodlu parola
- CVE-2024-27162 – /js/TopAccessUtil.js dosyasında DOM tabanlı XSS mevcut
- CVE-2024-27163 – Yönetici şifresi ve şifrelerin sızdırılması
- CVE-2024-27164 – Telnetd’de sabit kodlanmış kimlik bilgileri
- CVE-2024-27165 – PROCSUID kullanarak Yerel Ayrıcalık Yükseltme
- CVE-2024-27166 – Çekirdek dosyalar için güvenli olmayan izinler
- CVE-2024-27167 – Sendmail için kullanılan güvenli olmayan izinler – Yerel Ayrıcalık Yükseltmesi
- CVE-2024-27168 – Kimlik doğrulama çerezleri oluşturmak için kullanılan Python uygulamalarında bulunan sabit kodlu anahtarlar
- CVE-2024-27169 – WebPanel’de kimlik doğrulama eksikliği – Yerel Ayrıcalık Yükseltme
- CVE-2024-27170 – WebDAV erişimi için sabit kodlanmış kimlik bilgileri
- CVE-2024-27171 – Güvenli olmayan izinler
- CVE-2024-27172 – Uzaktan Kod Yürütme – kök olarak komut ekleme
- CVE-2024-27173 – Uzaktan Kod Yürütme – güvenli olmayan yükleme
- CVE-2024-27174 – Uzaktan Kod Yürütme – güvenli olmayan yükleme
- CVE-2024-27175 – Yerel Dosya Ekleme
- CVE-2024-27176 – Uzaktan Kod Yürütme – güvenli olmayan yükleme
- CVE-2024-27177 – Uzaktan Kod Yürütme – güvenli olmayan yükleme
- CVE-2024-27178 – Uzaktan Kod Yürütme – güvenli olmayan kopya
- CVE-2024-27179 – Uygulamaların kurulumunda günlük dosyalarının içindeki oturumun açıklanması
- CVE-2024-27180 – Uygulamaların kurulumunda TOCTOU güvenlik açığı, sahte uygulamaların kurulumuna ve RCE alınmasına olanak tanır
Bu Toshiba ürünlerinin kullanıcılarının, bu güvenlik açıklarının tehdit aktörleri tarafından istismar edilmesini önlemek için Toshiba’nın güvenlik tavsiyeleri uyarınca en son sürüme yükseltmeleri önerilir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files