脆弱性とエクスプロイト
複数のブラザー製デバイス:複数の脆弱性(修正済み)
ブログ著者:Stephen Fewer
ブログタグ:脆弱性開示、脆弱性管理、調査、InsightVM、Nexpose
概要
Rapid7は、ブラザー工業株式会社の多機能プリンター(MFP)に対してゼロデイ調査プロジェクトを実施しました。この調査の結果、8件の新たな脆弱性が発見されました。これらの脆弱性の一部またはすべてが、ブラザーのプリンター、スキャナー、ラベルメーカー機器の689機種に影響を与えることが確認されています。さらに、富士フイルムビジネスイノベーションのプリンター46機種、リコーのプリンター5機種、東芝テックのプリンター2機種が、これらの脆弱性の一部またはすべての影響を受けます。合計で、4社のベンダーにわたる742機種に影響が及びます。Rapid7は、JPCERT/CCと連携し、過去13か月間、ブラザーと協力してこれらの脆弱性の開示を調整してきました。
発見された中で最も深刻なものは、認証バイパスCVE-2024-51978です。認証されていないリモートの攻撃者は、複数の手段のいずれかを用いてターゲットデバイスのシリアル番号を漏洩させ、ターゲットデバイスのデフォルトの管理者パスワードを生成する可能性があります。これは、ブラザー製デバイスで使用されているデフォルトのパスワード生成手順が発見されたことに起因しています。この手順により、シリアル番号がデフォルトのパスワードに変換されます。影響を受けるデバイスは、製造工程において、各デバイス固有のシリアル番号に基づいてデフォルトのパスワードが設定されています。ブラザーは、この脆弱性はファームウェアでは完全に修正できないと述べており、影響を受けるすべてのモデルの製造プロセスの変更が必要だとしている。この新しい製造プロセスで製造された対象モデルのみがCVE-2024-51978に対して完全に保護されます。古い製造プロセスで製造された影響を受けるすべてのモデルに対して、ブラザーは回避策を提供しています。
8つの脆弱性の概要を以下に示します。
CVE | 説明 | 影響を受けるサービス | CVSS |
|---|---|---|---|
| CVE-2024-51977 | 認証されていない攻撃者が機密情報を漏洩させる可能性があります。 | HTTP(ポート 80)、HTTPS(ポート 443)、IPP(ポート 631) | 5.3 (中) |
| CVE-2024-51978 | 認証されていない攻撃者はデバイスのデフォルトの管理者パスワードを生成できます。 | HTTP(ポート 80)、HTTPS(ポート 443)、IPP(ポート 631) | 9.8 (最重要) |
| CVE-2024-51979 | 認証された攻撃者は、スタックベースのバッファオーバーフローを引き起こすことができます。 | HTTP(ポート 80)、HTTPS(ポート 443)、IPP(ポート 631) | 7.2 (高) |
| CVE-2024-51980 | 認証されていない攻撃者がデバイスにTCP 接続を強制的に開かせることができます。 | HTTP(ポート80)経由のウェブサービス | 5.3 (中) |
| CVE-2024-51981 | 認証されていない攻撃者は、デバイスに任意のHTTP リクエストを実行させることができます。 | HTTP(ポート80)経由のウェブサービス | 5.3 (中) |
| CVE-2024-51982 | 認証されていない攻撃者がデバイスをクラッシュさせる可能性があります。 | PJL(ポート 9100) | 7.5 (高) |
| CVE-2024-51983 | 認証されていない攻撃者がデバイスをクラッシュさせる可能性があります。 | HTTP(ポート80)経由のウェブサービス | 7.5 (高) |
| CVE-2024-51984 | 認証された攻撃者が設定された外部セッションのパスワードを漏洩させる可能性があります。 | LDAP、FTP | 6.8 (中) |
インパクト
情報漏洩の脆弱性 CVE-2024-51977により、リモートの認証されていない攻撃者が、ターゲットデバイスのシリアル番号やその他の機密情報を漏洩させることが可能です。認証バイパスの脆弱性 CVE-2024-51978を利用するには、ターゲットデバイスのシリアル番号を知っている必要があります。
認証バイパスの脆弱性CVE-2024-51978により、認証されていないリモート攻撃者がターゲットデバイスのデフォルト管理者パスワードを生成できます。このデフォルトパスワードは、製造プロセス中にデバイスの固有シリアル番号を変換して生成されます。CVE-2024-51977により、攻撃者は標的のHTTP、HTTPS、IPP サービスを介してシリアル番号を漏洩させることができます。しかし、攻撃者がCVE-2024-51977を利用できない場合でも、認証されていないリモート攻撃者はPJL またはSNMP クエリを介してターゲットデバイスのシリアル番号を見つけることができます。ターゲットデバイスの管理者パスワードが変更されておらず、デフォルトパスワードのままである場合、認証されていないリモート攻撃者はこのデフォルト管理者パスワードを使用して、ターゲットデバイスを再設定したり、認証されたユーザーのみを対象とした機能にアクセスできます。
この脆弱性CVE-2024-51979により、認証された攻撃者はスタックベースのバッファオーバーフロー脆弱性を誘発し、プログラムカウンター(PC)を含む複数のCPU レジスターを制御できます。これは、標的でリモートコード実行(RCE)を実現するのに十分なエクスプロイトプリミティブであると考えられます。認証バイパスの脆弱性CVE-2024-51978とスタックベースのバッファオーバーフロー脆弱性CVE-2024-51979を連鎖的に利用した場合、認証されていないリモート攻撃者によるRCE が発生する可能性があります。
2つのサービスサイド リクエスト フォージェリ(SSRF)の脆弱性CVE-2024-51980およびCVE-2024-51981により、認証されていない攻撃者がターゲットデバイスを介してネットワーク接続を実行できるようになります。攻撃者のネットワーク上の位置とターゲットデバイスのネットワーク上の位置によっては、外部ネットワーク上のリモート攻撃者が内部ネットワーク上のターゲットデバイスを介してネットワーク接続を実行できる可能性があります。例えば、プリンターのWeb インターフェースがネットワークセグメント全体に公開されている場合などが挙げられます。
2つのサービス拒否(DoS)脆弱性 CVE-2024-51982 および CVE-2024-51983 については、認証されていない攻撃者がネットワークアクセスを通じてターゲットデバイスを繰り返しクラッシュさせ、デバイスの可用性を完全に失わせることができます。
パスバック脆弱性 CVE-2024-51984により、リモート認証された攻撃者は、LDAP やFTP などの複数の設定済み外部サービスのプレーンテキスト認証情報を入手することができます。この脆弱性を悪用することで、攻撃者はネットワーク環境にさらに侵入するための追加の認証情報を得ることができます。外部FTP サービスの認証情報の場合、これらの認証情報は、そのFTP サービスに保存されているドキュメントなどの機密情報を漏洩させるために使用される可能性があります。
ベンダー4社の影響を受けるモデル742機種にこの8つの脆弱性をマッピングすると、以下のチャートで各CVE における影響を受けるモデル数の分布が確認できます。例えば、認証回避の脆弱性 CVE-2024-51978の影響を受けるモデルは691機種、サービス拒否の脆弱性 CVE-2024-51982の影響を受けるモデルは208機種です。
Rapid7 は、本開示におけるCVE 番号付与機関(CNA)として、8つのCVE レコードすべてに、既知の影響を受けるモデルすべての情報を入力しました。エントリー数が多いため、このデータはこの開示ブログ記事では複製されません。影響を受けるモデルに関する信頼できる情報源として、CVE レコードを参照することをお勧めいたします。
技術分析
このブログで説明されている脆弱性の詳細な技術分析については、Rapid7 のホワイトペーパー『プリントスキャンハック:複数のブラザー製デバイス間で複数の脆弱性を特定』をご覧ください。
ホワイトペーパーに付随する概念実証のソースコードは、こちらでご覧いただけます。
クレジット
これらの脆弱性は、Rapid7 の主任セキュリティリサーチャーであるStephen Fewer によって発見され、Rapid7 の脆弱性開示ポリシーに従って開示されています。
ベンダーの声明
以下の声明はBrother によって提供されました。
> ブラザーは、問題を発見するためのRapid7 の努力に感謝します。緩和策については当社のウェブサイトでお客様に通知しています。
修復 (Remediation)
以下の7つの脆弱性は、ベンダーから提供されるファームウェアの更新によって修復されました。
認証バイパスの脆弱性 CVE-2024-51978に関して、ベンダーはこの脆弱性がファームウェアで完全に修復できないことを示し、代わりにアドバイザリで回避策を提供しています。
影響を受けるモデルのユーザーは、ベンダーが提供するファームウェアアップデートと回避策の両方を適用して、8つの脆弱性をすべて修復する必要があります。詳細については、次のベンダーアドバイザリを参照してください。
* ブラザーのレーザーおよびインクジェットプリンターに関するアドバイザリ
Rapid7 のお客様
InsightVM とNexpose のお客様は、CVE-2024-51977、CVE-2024-51978、CVE-2024-51982、CVE-2024-51982、CVE-2024-51983へのエクスポージャーを、6月25日のコンテンツリリースで利用可能になる予定の未認証チェックを使用して評価できるようになります。CVE-2024-51982とCVE-2024-51983のチェックはシステムをクラッシュさせるように設計されているため、チェックが正常に実行されるように、チェックタイプを「UNSAFE」にする必要があります。
開示に関するタイムライン
2024年5月3日: Rapid7 はブラザーと初めて接触します。
2024年5月10日:ブラザーが開示書類の受領を確認しました。
2024年6月4日: Rapid7 はブラザーからのいくつかの技術的な質問に対して、さらに明確な回答を提供します。
2024年7月5日:ブラザーは今後のすべての通信がJPCERT/CC を通じて行われることを示します。
2024年7月24日:JPCERT/CC が初期導入を行い、ケースID を付与します。
2024年7月26日:JPCERT/CC は開示日を2025年5月としています。
2024年8月28日: JPCERT/CC は開示スケジュールを確認し、公開開示を2025年6月としています。
2024年10月10日:Rapid7 はMFC-L9570CDW のファームウェア アップデートに特定された問題のいくつかに対する修正が含まれていることを確認します。
2024年10月18日:Rapid7 はJPCERT/CC に連絡し、ファームウェアのリリースと調整された開示スケジュールについての説明を求めます。
2024年11月1日:JPCERT/CC は、2025年6月時点においても、対象機種の開示スケジュールを据え置くことを確認します。
2024年11月5日:Rapid7 はCNA として機能し、JPCERT/CC に8つの予約済みCVE ID 番号を提供します。
2024年11月19日: JPCERT/CC はRapid7 に対象機種のリストを提供します。
2025年3月5日:ブラザーは、8つの脆弱性のうち7つの修正を検証するようRapid7 に依頼します。
2025年3月21日:Rapid7 が修正を検証し、結果の詳細を記載したレポートをブラザーに提供します。
2025年5月20日:Rapid7 は協調開示のための合意された日付を要請し、2025年6月25日を提案します。
2025年5月22日:JPCERT/CC は2025年6月25日に協調的な情報開示を行うことを確認します。
2025年6月2日:JPCERT/CC はRapid7 に影響を受けるモデルの更新されたリストを提供します。
2025年6月20日:JPCERT/CC はRapid7 に今後のベンダーアドバイザリのURL を提供します。
2025年6月25日:本開示。
関連製品
脆弱性管理ソリューションを比較して始めましょう。
マネージド脆弱性管理(MVM)
当社の専門家チームと業界をリードするテクノロジーであるInsightVMを組み合わせることで、完全な脆弱性管理プログラムを開発できます。
Surface Command
Surface Commandは、攻撃可能領域を総合的に一元管理するため、ハイブリッド環境全体でアタックサーフェスの全体像を把握することで、データのサイロ化を解消します。
Exposure Command
Exposure Commandは、監視と資産インベントリマッピングを超え、Rapid7のエクスポージャー管理機能全体から得られるコンプライアンスおよびリスクの発見を用いてテレメトリを強化します。
マネージド脆弱性管理(MVM)
当社の専門家チームと業界をリードするテクノロジーであるInsightVMを組み合わせることで、完全な脆弱性管理プログラムを開発できます。
Surface Command
Surface Commandは、攻撃可能領域を総合的に一元管理するため、ハイブリッド環境全体でアタックサーフェスの全体像を把握することで、データのサイロ化を解消します。
Exposure Command
Exposure Commandは、監視と資産インベントリマッピングを超え、Rapid7のエクスポージャー管理機能全体から得られるコンプライアンスおよびリスクの発見を用いてテレメトリを強化します。