Home Tecnología Múltiples dispositivos Brotres Vulnerabilidades Abiertas para piratear

Múltiples dispositivos Brotres Vulnerabilidades Abiertas para piratear

29
0

Una investigación integral de investigación de seguridad ha presentado ocho vulnerabilidades críticas que afectan 742 modelos de impresora y dispositivos multifunción en cuatro fabricantes principales.

El descubrimiento, derivado de un proyecto de investigación de día cero realizado por la firma de seguridad cibernética Rapid7, expone fallas de seguridad severas en el ecosistema de impresoras de Brother Industries que se extienden más allá de los propios dispositivos del fabricante para impactar modelos de Fujifilm Business Innovation, Ricoh y Toshiba Tec Corporation.

Las vulnerabilidades van desde la divulgación de información hasta el compromiso completo del dispositivo, siendo la más severa un defecto de omisión de autenticación asignado CVE-2024-51978 que conlleva una puntuación CVSS crítica de 9.8.


Esta vulnerabilidad particular permite a los atacantes remotos no autenticados generar contraseñas de administrador predeterminadas explotando un algoritmo de generación de contraseñas predecible que transforma los números de serie del dispositivo en credenciales de autenticación.

La falla es tan fundamental para el proceso de fabricación que Brother ha indicado que no puede remediarse completamente solo a través de las actualizaciones de firmware, lo que requiere cambios en la tubería de producción para una mitigación completa.

El alcance de la exposición a la seguridad no tiene precedentes en el panorama de seguridad de la impresora, que afecta a 689 dispositivos hermanos junto con docenas de modelos de fabricantes asociados.

Analistas de Rapid7 identificado Estas vulnerabilidades a través de pruebas extensas de impresoras multifunción, descubriendo vectores de ataque que abarcan múltiples protocolos de red, incluidos HTTP, HTTPS, IPP, PJL y servicios web.

La metodología de investigación implicó un análisis detallado de los componentes de firmware, implementaciones de protocolo y mecanismos de autenticación en las familias de dispositivos afectados.

El clúster de vulnerabilidad crea múltiples vías de ataque que se pueden encadenar para el máximo impacto. Un atacante puede aprovechar CVE-2024-51977 para filtrar la información del dispositivo confidencial, incluidos los números de serie, luego utilizar CVE-2024-51978 para generar credenciales administrativas y finalmente explotar CVE-2024-51979 para ataques de desbordamiento basados ​​en la pila que podrían conducir a la ejecución de código remoto.

Esta cadena de ataque transforma lo que podría aparecer como vulnerabilidades individuales moderadas en una amenaza de seguridad crítica cuando se combina sistemáticamente.

Bypass de autenticación y mecanismo de generación de contraseña predeterminado

La vulnerabilidad más significativa en esta colección, CVE-2024-51978, expone un defecto fundamental en la arquitectura de seguridad de dispositivos de Brother a través de su sistema de generación de contraseñas predeterminado predecible.

Durante el proceso de fabricación, cada dispositivo recibe una contraseña de administrador predeterminada única calculada utilizando un algoritmo determinista que transforma el número de serie del dispositivo en la credencial de autenticación.

Este enfoque, aunque está destinado a proporcionar contraseñas únicas en la flota del dispositivo, crea una debilidad crítica de seguridad cuando se conoce el algoritmo de generación.

La metodología de ataque comienza con la divulgación del número de serie a través de múltiples vectores. Los atacantes pueden obtener números de serie del dispositivo a través de los servicios CVE-2024-51977 a través de los servicios HTTP, HTTPS o IPP, o alternativamente a través de consultas directas de PJL o SNMP que omiten la vulnerabilidad de la fuga de información por completo.

Una vez que se adquiere el número de serie, el algoritmo de generación de contraseñas predecible permite a los atacantes calcular la contraseña de administrador predeterminada correspondiente sin requerir ningún acceso autenticado al dispositivo de destino.

El reconocimiento del hermano de que esta vulnerabilidad no se puede abordar por completo a través de las actualizaciones de firmware destaca la gravedad del defecto arquitectónico.

La compañía ha implementado cambios de procesos de fabricación para dispositivos recientemente producidos al tiempo que proporciona soluciones para las instalaciones existentes.

Sin embargo, los dispositivos fabricados utilizando el proceso original siguen siendo fundamentalmente vulnerables a menos que los administradores cambien manualmente las contraseñas predeterminadas, un paso que muchas organizaciones pasan por alto en sus procedimientos de implementación de la impresora.

Vulnerabilidades:-

CVEDESCONTRACTIONE SIVICECVSS SCORECVE-2024-51977 un atacante no autenticado puede filtrar información confidencialhttp (puerto 80), https (puerto 443), IPP (puerto 631) 5.3 (medio) cVe-2024-51978an un atacante no en el atacante no 443), IPP (puerto 631) 9.8 (crítico) CVE-2024-51979 un atacante autenticado puede activar un búfer basado en pila Overflowhttp (puerto 80), https (puerto 443), IPP (puerto 631) 7.2 (alto) CVE-2024-51980 UNAUTHENTAD HTTP (Port 80)5.3 (Medium)CVE-2024-51981An unauthenticated attacker can force the device to perform an arbitrary HTTP requestWeb Services over HTTP (Port 80)5.3 (Medium)CVE-2024-51982An unauthenticated attacker can crash the devicePJL (Port 9100)7.5 (High)CVE-2024-51983An El atacante no autenticado puede bloquear los servicios de dispositivos a través de HTTP (puerto 80) 7.5 (alto) CVE-2024-51984an El atacante autenticado puede revelar la contraseña de un servicio externo configurado, FTP6.8 (medio)

El proceso de divulgación coordinado, que abarca trece meses desde el contacto inicial hasta el lanzamiento público, implicó la colaboración entre Rapid7, Brother Industries y el Centro de Coordinación JPCERT/CC de Japón.

Siete de las ocho vulnerabilidades se han abordado a través de actualizaciones de firmware, con una remediación integral que requiere parches de software y cambios de configuración para asegurar completamente los dispositivos afectados en todo el panorama de la impresora empresarial.

Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.

Fuente de noticias