13. Mai 2023

0

0

0Drucken

0

Sicherheit Canon Schwachstellen: i-Sensys, Imageprograf, Megatank Pixma und Maxify angreifbar

Canon meldet mindestens zehn neue Schwachstellen in einigen Druckern. Betroffen sind eine Reihe von Farblasern sowie die neusten Tintentanker der Serien Pixma und Maxify. Canon empfiehlt dringend eine Aktualisierung der Firmware - dieses wird bei den Tintendruckern derzeit jedoch nur über das Bedienpanel angeboten.

Der japanische Druckerhersteller meldet eine ganze Reihe von kritischen Schwachstellen, die in vielen aktuellen Druckern der Serien i-Sensys, Imageprograf, Megatank Pixma und Maxify gefunden wurden. Gemeldet wurden diese großteils von Dritten über das eigene Programm zur Offenlegung von Sicherheitslücken.

Auf betroffenen Druckern, die direkt (ohne Router) mit dem Internet verbunden sind, können potenzielle Angreifer willkürlich Programmcode aufspielen und ausführen. Ein Angriff ist auch über eine DoS-Attacke über das Internet möglich. Das RemoteUI (der integrierte Webserver des Druckers) kann zudem trotz unzureichender Authentifizierung Daten und Einstellungen preisgeben.

Aktualisierung der Firmware dringend empfohlen

Firmware: Bei den Tintendruckern klappt die Aktualisierung derzeit nur über das Bedienpanel. Einen Download gibt es nur für die i-Sensys-Laserdrucker.

Canon empfiehlt dringend eine Aktualisierung der Firmware bei den betroffenen Druckern. Für die "i-Sensys"-Laserdrucker stehen diese auch per Download im Support-Bereich von Canon zur Verfügung. Bei den meisten Druckern behebt die Version "V12.03" die Schwachstellen.

Bei den betroffenen Imageprograf, Pixma- und Maxify-Tintendruckern sieht die Sache jedoch etwas schwieriger aus. Auf der Supportseite gibt es für diese Modelle generell keinen Download. Eine Aktualisierung der Firmware lässt sich nur über das Bedienpanel des Druckers selbst durchführen.

Ab welcher Version das Problem behoben wurde, veröffentlicht Canon nicht. Auf einem Testdrucker Maxify GX4050 ist die aktuellste Version "2.00" installiert.

Support / Firmware-Download

"Kritische" Lücke bei Laserdruckern

Pufferüberlauf

• CVE-2022-43608 (aus November 2022)
• CVE-2023-0851
• CVE-2023-0852
• CVE-2023-0853
• CVE-2023-0854
• CVE-2023-0855
• CVE-2023-0856

Probleme bei der Erstregistrierung von Systemadministratoren in Kontrollprotokollen

• CVE-2023-0857

Unzulässige Authentifizierung von RemoteUI

• CVE-2023-0858

Installation von beliebigen Dateien

• CVE-2023-0859

Betroffene Modelle:

i-Sensys

• i-Sensys LBP621Cw, LBP623Cdw (Fix ab Firmware V12.03)
• i-Sensys LBP633Cdw, LBP664Cx (Fix ab Firmware V01.24)
• i-Sensys MF641Cw, MF643Cdw, MF645Cx (Fix ab Firmware V12.03)
• i-Sensys MF742Cdw, MF744Cdw, MF746Cx (Fix ab Firmware V12.03)

i-Sensys X (Vertragsmodelle)

• i-Sensys X C1127i, C1127iF (Fix ab Firmware V12.03)
• i-Sensys X C1127P (Fix ab Firmware V12.03)

"Kritische" Lücke bei Tintendruckern

Pufferüberlauf

• CVE-2022-43974

Betroffene Modelle:

Canon Maxify Megatank

• Maxify GX3050
• Maxify GX4050

Canon Pixma Megatank

• Pixma G3570-Serie
• Pixma G4570-Serie

Canon Imageprograf

• Imageprograf TC-20
• Imageprograf TC-20M