Sicherheit Canon Schwachstellen: i-Sensys, Imageprograf, Megatank Pixma und Maxify angreifbar
Der japanische Druckerhersteller meldet eine ganze Reihe von kritischen Schwachstellen, die in vielen aktuellen Druckern der Serien i-Sensys, Imageprograf, Megatank Pixma und Maxify gefunden wurden. Gemeldet wurden diese großteils von Dritten über das eigene Programm zur Offenlegung von Sicherheitslücken.
Auf betroffenen Druckern, die direkt (ohne Router) mit dem Internet verbunden sind, können potenzielle Angreifer willkürlich Programmcode aufspielen und ausführen. Ein Angriff ist auch über eine DoS-Attacke über das Internet möglich. Das RemoteUI (der integrierte Webserver des Druckers) kann zudem trotz unzureichender Authentifizierung Daten und Einstellungen preisgeben.
Aktualisierung der Firmware dringend empfohlen
Canon empfiehlt dringend eine Aktualisierung der Firmware bei den betroffenen Druckern. Für die "i-Sensys"-Laserdrucker stehen diese auch per Download im Support-Bereich von Canon zur Verfügung. Bei den meisten Druckern behebt die Version "V12.03" die Schwachstellen.
Bei den betroffenen Imageprograf, Pixma- und Maxify-Tintendruckern sieht die Sache jedoch etwas schwieriger aus. Auf der Supportseite gibt es für diese Modelle generell keinen Download. Eine Aktualisierung der Firmware lässt sich nur über das Bedienpanel des Druckers selbst durchführen.
Ab welcher Version das Problem behoben wurde, veröffentlicht Canon nicht. Auf einem Testdrucker Maxify GX4050 ist die aktuellste Version "2.00" installiert.
"Kritische" Lücke bei Laserdruckern
Pufferüberlauf
- CVE-2022-43608 (aus November 2022)
- CVE-2023-0851
- CVE-2023-0852
- CVE-2023-0853
- CVE-2023-0854
- CVE-2023-0855
- CVE-2023-0856
Probleme bei der Erstregistrierung von Systemadministratoren in Kontrollprotokollen
Unzulässige Authentifizierung von RemoteUI
Installation von beliebigen Dateien
Betroffene Modelle:
i-Sensys
- i-Sensys LBP621Cw, LBP623Cdw (Fix ab Firmware V12.03)
- i-Sensys LBP633Cdw, LBP664Cx (Fix ab Firmware V01.24)
- i-Sensys MF641Cw, MF643Cdw, MF645Cx (Fix ab Firmware V12.03)
- i-Sensys MF742Cdw, MF744Cdw, MF746Cx (Fix ab Firmware V12.03)
i-Sensys X (Vertragsmodelle)
- i-Sensys X C1127i, C1127iF (Fix ab Firmware V12.03)
- i-Sensys X C1127P (Fix ab Firmware V12.03)