CVE-2022-1026: Sicherheitslücke bei vielen Kyocera-Systemen
Bereits Anfang April 2022 hat der japanische Druckerhersteller Kyocera auf eine Sicherheitslücke bei vielen seiner Multifunktionssysteme hingewiesen
. Die neuen Einstiegsfarblaser ohne Scanner der PA2100-Serie sollen zudem betroffen sein.
Das Problem besteht bei einer nicht abgesicherten WSD-Webservice-Anfrage (über das SOAP-Protokoll) aus dem lokalen Netzwerk. Die Lücke, beschrieben unter "CVE-2022-1026" wird mit einem "hohen" Risiko (CVSS 8.6) eingestuft.
Trotz Rechtevergabe soll es einem Angreifer aus dem gleichen Netzwerk auch ohne Angabe eines Passworts möglich sein an das interne Adressbuch des Druckers zu gelangen. Externe Angreifer müssten sich somit erst Zugriff auf das Netzwerk des Druckers beschaffen, um die Lücke auszunutzen.
Firmwareupdate oder Funktion abschalten
Als Lösung bietet Kyocera für alle betroffenen Drucker (siehe Übersicht unten) eine aktualisierte Firmware an. Insbesondere bei einfacheren Druckern, die bei Privatpersonen stehen, besteht dabei das Problem, dass Kyocera im Normalfall keine Firmware zum freien Download anbietet. Auch die Drucker selbst bieten keine Funktion zur automatischen Aktualisierung über das Internet an.
Kunden sollten sich daher entweder an seinen autorisierten Servicepartner oder aber an den Kyocera-Support wenden.
Kyocera Support Servicepartner
Druckerchannel hat bereits bei Kyocera angefragt, ob es eine unkompliziertere Download-Lösung für die notwendige Firmware geben wird. Eine Antwort steht noch aus.
Workaround
Spätestens bis zur Aktualisierung oder generell als Umgehung des Problems, lässt sich der Zugriff auf die erweiterten WSD-Dienste auch temporär oder dauerhaft ausschalten.
Dazu sollten die Werte Enhanced WSD und EnhancedWSD(SSL) über den Webserver des Druckers auf "Aus" gesetzt werden. Diese Optionen findet man in den "Protokoll-Einstellungen".
Die WSD-Scanfunktion (Treiberloses Scannen an einen Windows-Rechner) kann aktiviert bleiben und ist weiterhin funktionsfähig.
Betroffene Drucker und Multifunktionssysteme
Betroffen sind so gut wie alle aktuellen und viele älteren Multifunktionssysteme von Kyocera. Einschließlich der neu vorgestellten Taskalfa MZ4000i- und MZ3200i-Serie und den erst im März vorgestellten Farblaser der MA2100-Serie. Einige gelistete Taskalfa-Systeme sind im deutschsprachigen Raum jedoch nicht erhältlich.
Aufgelistet werden auch die Modelle PA2100cw/PA2100cwx, die als reine Drucker normal ohne Adressbuch auskommen. Womöglich ist dies ein Fehler.
Druckerübersicht
- ECOSYS PA2100cwx
- ECOSYS PA2100cx
- ECOSYS MA2100cfx
- ECOSYS MA2100cwfx
- ECOSYS M2040dn
- ECOSYS M2135dn
- ECOSYS M2540dn
- ECOSYS M2635dn
- ECOSYS M2640idw
- ECOSYS M2735dw
- ECOSYS M3145dn
- ECOSYS M3145idn
- ECOSYS M3645dn
- ECOSYS M3645idn
- ECOSYS M3655idn
- ECOSYS M3660idn
- ECOSYS M3860idn
- ECOSYS M3860idnf
- ECOSYS M4125idn
- ECOSYS M4132idn
- ECOSYS M5521cdw
- ECOSYS M5521cdw
- ECOSYS M5526cdn
- ECOSYS M5526cdw
- ECOSYS M6230cidn
- ECOSYS M6235cidn
- ECOSYS M6630cidn
- ECOSYS M6635cidn
- ECOSYS M8124cidn
- ECOSYS M8130cidn
- TASKalfa 2460ci
- TASKalfa 2470ci
- TASKalfa 2510i
- TASKalfa 2520i
- TASKalfa 2552ci
- TASKalfa 2553ci
- TASKalfa 2554ci
- TASKalfa 3060ci
- TASKalfa 306ci
- TASKalfa 307ci
- TASKalfa 308ci
- TASKalfa 3212i
- TASKalfa 3252ci
- TASKalfa 3253ci
- TASKalfa 351ci
- TASKalfa 352ci
- TASKalfa 3552ci
- TASKalfa 3553ci
- TASKalfa 3554ci
- TASKalfa 356ci
- TASKalfa 358ci
- TASKalfa 4002i
- TASKalfa 4003i
- TASKalfa 4004i
- TASKalfa 4012i
- TASKalfa 4020i
- TASKalfa 4052ci
- TASKalfa 4053ci
- TASKalfa 4054ci
- TASKalfa 406ci
- TASKalfa 408ci
- TASKalfa 5002i
- TASKalfa 5003i
- TASKalfa 5004i
- TASKalfa 5052ci
- TASKalfa 5053ci
- TASKalfa 5054ci
- TASKalfa 508ci
- TASKalfa 6002i
- TASKalfa 6003i
- TASKalfa 6004i
- TASKalfa 6052ci
- TASKalfa 6053ci
- TASKalfa 6054ci
- TASKalfa 7002i
- TASKalfa 7003i
- TASKalfa 7004i
- TASKalfa 7052ci
- TASKalfa 7054ci
- TASKalfa 7353ci
- TASKalfa 8002i
- TASKalfa 8003i
- TASKalfa 8052ci
- TASKalfa 8353ci
- TASKalfa 9002i
- TASKalfa 9003i
- TASKalfa MZ3200i
- TASKalfa MZ4000i
- TASKalfa Pro 15000c
