1. DC
  2. Tests & Artikel
  3. News
  4. CVE-2022-1026

CVE-2022-1026: Sicherheitslücke bei vielen Kyocera-Systemen

von Ronny Budzinske

Fast alle aktuellen Kyocera Multifunktionssysteme der Serien "Ecosys" und "Taskalfa" sind von einer mit "hoch" eingestuften Sicherheitslücke betroffen. So kann ein hinterlegtes Adressbuch unter Umgehung der Benutzerauthentifizierung ausgelesen werden. Abhilfe bringt eine neue Firmware, die jedoch nicht zum freien Download zur Verfügung steht.

Bereits Anfang April 2022 hat der japanische Druckerhersteller Kyocera auf eine Sicherheitslücke bei vielen seiner Multifunktionssysteme hingewiesen. Die neuen Einstiegsfarblaser ohne Scanner der PA2100-Serie sollen zudem betroffen sein.

Das Problem besteht bei einer nicht abgesicherten WSD-Webservice-Anfrage (über das SOAP-Protokoll) aus dem lokalen Netzwerk. Die Lücke, beschrieben unter "CVE-2022-1026" wird mit einem "hohen" Risiko (CVSS 8.6) eingestuft.

Trotz Rechtevergabe soll es einem Angreifer aus dem gleichen Netzwerk auch ohne Angabe eines Passworts möglich sein an das interne Adressbuch des Druckers zu gelangen. Externe Angreifer müssten sich somit erst Zugriff auf das Netzwerk des Druckers beschaffen, um die Lücke auszunutzen.

Firmwareupdate oder Funktion abschalten

Als Lösung bietet Kyocera für alle betroffenen Drucker (siehe Übersicht unten) eine aktualisierte Firmware an. Insbesondere bei einfacheren Druckern, die bei Privatpersonen stehen, besteht dabei das Problem, dass Kyocera im Normalfall keine Firmware zum freien Download anbietet. Auch die Drucker selbst bieten keine Funktion zur automatischen Aktualisierung über das Internet an.

Kunden sollten sich daher entweder an seinen autorisierten Servicepartner oder aber an den Kyocera-Support wenden.

Kyocera Support Servicepartner

Druckerchannel hat bereits bei Kyocera angefragt, ob es eine unkompliziertere Download-Lösung für die notwendige Firmware geben wird. Eine Antwort steht noch aus.

Workaround

Spätestens bis zur Aktualisierung oder generell als Umgehung des Problems, lässt sich der Zugriff auf die erweiterten WSD-Dienste auch temporär oder dauerhaft ausschalten.

Dazu sollten die Werte Enhanced WSD und EnhancedWSD(SSL) über den Webserver des Druckers auf "Aus" gesetzt werden. Diese Optionen findet man in den "Protokoll-Einstellungen".

Die WSD-Scanfunktion (Treiberloses Scannen an einen Windows-Rechner) kann aktiviert bleiben und ist weiterhin funktionsfähig.

Betroffene Drucker und Multifunktionssysteme

Betroffen sind so gut wie alle aktuellen und viele älteren Multifunktionssysteme von Kyocera. Einschließlich der neu vorgestellten Taskalfa MZ4000i- und MZ3200i-Serie und den erst im März vorgestellten Farblaser der MA2100-Serie. Einige gelistete Taskalfa-Systeme sind im deutschsprachigen Raum jedoch nicht erhältlich.

Aufgelistet werden auch die Modelle PA2100cw/PA2100cwx, die als reine Drucker normal ohne Adressbuch auskommen. Womöglich ist dies ein Fehler.

Druckerübersicht

27.04.22 10:50 (letzte Änderung)

5 Wertungen

 
1

Offenlegung - Provisionslinks

Wir erhalten bei einer Vermittlung zum Kauf oder direkt beim Klick eine Provision vom Anbieter.

Alle Preise enthalten die derzeit gültige MwSt. und verstehen sich zzgl. Versandkosten. Der Preis sowie die Verfügbarkeit können sich mittlerweile geändert haben. Weiß hinterlegte Preise gelten für ein baugleiches Gerät. Alle Angaben ohne Gewähr.

Forum Aktuell
02:08
19:01
17:28
16:17
10:10
16.6.
16.6.
Artikel
17.06. IDC Marktzahlen Q1/2025: Tintentanker treiben den Druckermarkt an
16.06. Epson Workforce Pro EM-​C8100RDWF und EM-​C8101RDWF: Bürotintendrucker für A3 mit Reichweiten bis zu 86.000 Seiten
12.06. Epson Jubiläum: 50 Jahre Epson als Marke
05.06. Ricoh und oAuth 2.0: Fahrplan für Umstellung auf "moderne Authentifizierung" bei Ricoh-​Druckern
03.06. Brother EcoPro Aktion 2025: Tinten-​ oder Tonerabo ein halbes Jahr kostenlos testen
02.06. Kyocera Ecosys MA3500-​, MA3501-​ und PA3500-​Monolaser-​Serie: Solide Monolaser-​Einstiegsklasse mit 35 ppm
01.06. Epson Ecotank-​Cashback 2025: Bis zu 150 Euro zurück beim Kauf eines Ecotank-​Druckers
01.06. Epson "ReadyPrint Flex"-​Cashback 2025: Bis zu 40 Euro zurück beim Drucker-​Kauf und Buchung von Gratis-​Probeabo
27.05. Brother DCP-​T780DW und DCP-​T580DW: Einführung der "Tankbenefit"-​Drucker mit Kassette und Duplex
20.05. HP Scanjet Pro 4200 s1: Kompaktstapler mit Reisepass-​Einzug
14.05. Epson Workforce Enterprise AM-​M5500: Erster S/W-​Kopierer auf Tintenbasis mit A3-​Linehead
07.05. Canon Imageprograf TC-​21 und TC-​21M: A1-​Tintentanker schafft nun (fast) randlos und sogar kleinformatige Blattware
Themen des Tages
Beliebte Drucker
ab 188,90 €1 Epson Ecotank ET-2870

Multifunktionsdrucker (Tinte)

ab 163,79 €1 Canon Maxify MB5150

Multifunktionsdrucker (Pigmenttinte)

ab 184,00 €1 Epson Ecotank ET-2861

Multifunktionsdrucker (Tinte)

ab 844,88 €1 Epson Ecotank ET-5850

Multifunktionsdrucker (Pigmenttinte)

ab 379,99 €1 Canon Maxify GX6050

Multifunktionsdrucker (Pigmenttinte)

ab 499,99 €1 Canon Maxify GX7050

Multifunktionsdrucker (Pigmenttinte)

ab 318,99 €1 Epson Ecotank ET-3850

Multifunktionsdrucker (Tinte)

ab 369,00 €1 Epson Ecotank ET-4850

Multifunktionsdrucker (Tinte)

ab 61,00 €1 Canon Pixma TR4755i

Multifunktionsdrucker (Tinte)

ab 309,00 €1 Canon Maxify GX4050

Multifunktionsdrucker (Pigmenttinte)

Merkliste

×
Drucker vergleichen