1. DC
  2. Tests & Artikel
  3. News
  4. Sicherheit: Canon CP2024-001
(aktual. am 12. Februar 2024)

Sicherheit Canon CP2024-001: Sieben "kritische" Sicherheitslücken in aktuellen i-Sensys-Druckern

von Ronny Budzinske

Canon warnt vor Schwachstellen mit einem sehr hohen "kritischen" CVSS-Wert von 9,8 auf einer Skala bis 10. Zum Tragen kommen diese, wenn die Drucker mit einer öffentlichen IP mit dem Internet verbunden sind oder man unmittelbaren Zugriff auf das lokale Netzwerk hat. Eine Firmwareaktualisierung steht nun zum Download bereit

Der japanische Druckerhersteller Canon warnt vor sieben Schwachstellen in der aktuellen i-Sensys MF750er- und LBP670er-Farblaser-Serie. Betroffen sind auch die entsprechenden "i-Sensys X"-Systeme für Vertragskunden. Die genauen Modelle sind in einer Tabelle weiter unten aufgelistet.

Die insgesamt sieben Lücken sind allesamt mit einem äußerst hohen CVSS-Wert von 9,8 (von maximal 10,0) einsortiert und somit als "kritisch" eingestuft.


Die gelisteten Schwachstellen lassen darauf schließen, dass ein nicht authentifizierter entfernter Angreifer (Remote) möglicherweise beliebigen Programmcode auf den Druckern oder Multifunktionssystemen ausführen kann, wenn dieser ohne Verwendung eines Routers (kabelgebunden oder WLAN) direkt mit dem Internet verbunden ist. Angriffsvektoren sind zudem Denial-of-Service-Attacken.

Als anfällig wird die Firmware (bis einschließlich) der Version 3.07 genannt. Stand zunächst nur die fehlerbehaftete Version 3.04 zum Download zur Verfügung, findet man mittlerweile nun die aktualisierte Firmware mit der Nummer 3.09 auf den Support-Seiten. Direktlinks haben wir in der Tabelle untergebracht.

Bis zur Aktualisierung empfiehlt Canon dringend eine Absicherung des Zugriffs der Drucker aus dem Internet.

Dazu steht eine Anleitung (in englischer Sprache) zur Verfügung.

Canon Support (Aktualisierung ausstehend)

Sicherheitshinweise

Druckermatrix (in Europa erhältliche Modelle)
betroffene Firmwarekorrigierte FirmwareCVE-
2023-6229
CVE-
2023-6230
CVE-
2023-6231
CVE-
2023-6232
CVE-
2023-6233
CVE-
2023-6234
CVE-
2024-0244
Standardmodelle
Canon i-Sensys LBP673Cdw

i-Sensys LBP673Cdw

bis einschließlich
Version 3.07

Version 3.09
nicht betroffen
Canon i-Sensys MF752Cdw

i-Sensys MF752Cdw

bis einschließlich
Version 3.07
Version 3.09nicht betroffen
Canon i-Sensys MF754Cdw

i-Sensys MF754Cdw

bis einschließlich
Version 3.07
Version 3.09
Vertragsmodelle
i-Sensys X C1333Pbis einschließlich
Version 3.07
Version 3.09nicht betroffen
i-Sensys X C1333ibis einschließlich
Version 3.07
Version 3.09nicht betroffen
i-Sensys X C1333iFbis einschließlich
Version 3.07
Version 3.09
Copyright Druckerchannel.de

CVE-2023-6229 (Stufe 9,8 von 10, "kritisch")

Pufferüberlauf im "CPCA-PDL"-Download-Prozess, der es einem Angreifer im gleichen Netzwerk ermöglichen kann, dass das betroffene Produkt nicht mehr reagiert oder beliebigen Code ausführt.

weitere Informationen

  • CVE-2023-6229
  • Gemeldet von: Nguyen Quoc (Viet) in Zusammenarbeit mit der "Trend Micro's Zero Day Initiative"

CVE-2023-6230 (Stufe 9,8 von 10, "kritisch")

Pufferüberlauf beim Adressbuch-Zugriff bei der Authentifizierung von Mobilgeräten, der es einem Angreifer im gleichen Netzwerk ermöglichen kann, dass das betroffene Produkt nicht mehr reagiert oder beliebigen Code ausführt.

weitere Informationen

  • CVE-2023-6230
  • Gemeldet von: Anonyme Person in Zusammenarbeit mit der "Trend Micro's Zero Day Initiative"

CVE-2023-6231 (Stufe 9,8 von 10, "kritisch")

Pufferüberlauf im WSD-Anforderungsprozess, der es einem Angreifer im gleichen Netzwerk ermöglichen kann, dass das betroffene Produkt nicht mehr reagiert oder beliebigen Code ausführt.

weitere Informationen

  • CVE-2023-6231
  • Gemeldet von: Team Viettel in Zusammenarbeit mit der "Trend Micro's Zero Day Initiative"

CVE-2023-6232 (Stufe 9,8 von 10, "kritisch")

Pufferüberlauf beim Adressbuch-Benutzernamen-Zugriff bei der Authentifizierung von Mobilgeräten, der es einem Angreifer im gleichen Netzwerk ermöglichen kann, dass das betroffene Produkt nicht mehr reagiert oder beliebigen Code ausführt.

weitere Informationen

  • CVE-2023-6232
  • Gemeldet von: ANHTUD in Zusammenarbeit mit der "Trend Micro's Zero Day Initiative"

CVE-2023-6233 (Stufe 9,8 von 10, "kritisch")

Pufferüberlauf im SLP-Attributanforderungsprozess, der es einem Angreifer im gleichen Netzwerk ermöglichen kann, dass das betroffene Produkt nicht mehr reagiert oder beliebigen Code ausführt.

weitere Informationen

  • CVE-2023-6233
  • Gemeldet von: ANHTUD working with Trend Micro's Zero Day Initiative

CVE-2023-6234 (Stufe 9,8 von 10, "kritisch")

Pufferüberlauf im CPCA Color LUT Resourcen-Download-Prozess, der es einem Angreifer im gleichen Netzwerk ermöglichen kann, dass das betroffene Produkt nicht mehr reagiert oder beliebigen Code ausführt.

weitere Informationen

  • CVE-2023-6234
  • Gemeldet von: Team Viettel in Zusammenarbeit mit der "Trend Micro's Zero Day Initiative"

CVE-2024-0244 (Stufe 9,8 von 10, "kritisch")

Pufferüberlauf im CPCA-PCFAX-Nummerierungs-Prozess von Office-Multifunktionsdruckern, der es einem Angreifer im gleichen Netzwerk ermöglichen kann, dass das betroffene Produkt nicht mehr reagiert oder beliebigen Code ausführt.

weitere Informationen

  • CVE-2024-0244
  • Gemeldet von: Connor Ford (@ByteInsight) von Nettitude in Zusammenarbeit mit der "Trend Micro's Zero Day Initiative"
12.02.24 09:04 (letzte Änderung)
Technische Daten

3 Wertungen

 
1

Offenlegung - Provisionslinks

Wir erhalten bei einer Vermittlung zum Kauf oder direkt beim Klick eine Provision vom Anbieter.

Alle Preise enthalten die derzeit gültige MwSt. und verstehen sich zzgl. Versandkosten. Der Preis sowie die Verfügbarkeit können sich mittlerweile geändert haben. Weiß hinterlegte Preise gelten für ein baugleiches Gerät. Alle Angaben ohne Gewähr.

Forum Aktuell
02:54
02:36
01:11
23:53
23:36
23.2.
Artikel
23.02. HP Laserjet, Pagewide und Scanjet: Schwachstelle bei Druckern und Scannern mit "FutureSmart"-​Firmware sowie der neuen 4202/4302-​Serie
19.02. Brother DCP-​C1210N "Picocharge": Tintendrucker mit Vorausbezahlung der Seiten
15.02. HP Officejet Pro 9730e und 9720e: Erste A3-​Bürotintendrucker von HP mit Abo-​Option
07.02. Lexmark, Ricoh: Vier "kritische" Sicherheitslücken in über 150 Druckern vieler Modellreihen
07.02. Canon CP2024-​001: Sieben "kritische" Sicherheitslücken in aktuellen i-​Sensys-​Druckern
07.02. Epson Bridge x Microsoft Universal Print: Brückenschlag zum universellen Drucken
05.02. Epson Ecotank: Weltweite Tintentank-​Verkäufe beim Primus nur noch "stabil"
01.02. HP ThinkJet (Modell 2225): Erster thermischer Tintendrucker in Serie wird 40
01.02. Brother EcoPro Cashback 2024: Bis zu 75 Euro Cashback auf Farb-​LED-​ und S/W-​Laser-​Drucker
31.01. HP Laserjet Cashback 2024: Cashback auf viele HP-​Laserjet-​Monochromdrucker
26.01. HP Officejet Pro 9130e-​, 9120e-​, 8130e-​ und 8120e-​Serie: Business-​Inkjets von der Ober-​ bis zur Einstiegsklasse
24.01. Enrique Lores in Davos: Drucker-​Kartuschen als Sicherheitsrisiko?
Themen des Tages
Beliebte Drucker
ab 349,98 €1 Epson Ecotank ET-4850

Multifunktionsdrucker (Tinte)

ab 162,97 €1 Canon Maxify MB5150

Multifunktionsdrucker (Pigmenttinte)

ab 184,95 €1 Epson Ecotank ET-2811

Multifunktionsdrucker (Tinte)

ab 759,98 €1 Epson Ecotank ET-5850

Multifunktionsdrucker (Pigmenttinte)

ab 582,30 €1 Canon Maxify GX7050

Multifunktionsdrucker (Pigmenttinte)

ab 638,89 €1 Epson Ecotank ET-8550

Multifunktionsdrucker, A3 (Tinte)

ab 226,72 €1 Epson Ecotank ET-2850

Multifunktionsdrucker (Tinte)

ab 159,99 €1 Brother MFC-J4340DW

Multifunktionsdrucker (Pigmenttinte)

ab 309,10 €1 HP Smart Tank 7305

Multifunktionsdrucker (Tinte)

ab 395,99 €1 Canon Maxify GX4050

Multifunktionsdrucker (Pigmenttinte)

Merkliste

×
Drucker vergleichen