Name: Tremplin Numérique
Price range: $$$

Résumé

Une vulnérabilité critique affectant 750 modèles d'imprimantes permet aux pirates de déterminer à distance les mots de passe de l'administrateur par défaut.
La société de cybersécurité Rapid7 a découvert les défauts, la vulnérabilité la plus grave ayant une note CVSS de 9,8 sur 10.
Les fabricants recommandent de modifier les mots de passe d'administration par défaut pour protéger les imprimantes vulnérables contre l'exploitation, car les mises à jour du micrologiciel ne peuvent pas corriger certains défauts.

Votre imprimante n'est peut-être pas le premier point d'entrée auquel vous pensez pour les pirates. Mais vous seriez surpris par le nombre de vulnérabilités de votre imprimante. Et maintenant, vous pourriez même en avoir un imprévu.

Une multitude de vulnérabilités de sécurité sérieuses ont été découvertes dans près de 750 modèles d'imprimantes de principaux fabricants, dont Brother, Fujifilm, Toshiba, Ricoh et Konica Minolta. La plus grave de ces défauts, qui affecte 689 modèles de frère, permet aux attaquants de déterminer à distance le mot de passe administrateur par défaut de l'appareil. Et pour un changement, c'est un bogue qui ne peut pas être corrigé avec une mise à jour logicielle.

Les huit vulnérabilités ont été découvertes par la société de cybersécurité Rapid7, qui a travaillé avec les entreprises touchées pendant plus d'un an avant la divulgation publique. La vulnérabilité centrale et la plus critique, identifiée comme CVE-2024-51978 avec une note CVSS « critique » de 9,8 sur 10, réside dans la façon dont les mots de passe de l'administrateur par défaut sont générés à l'usine. Les attaquants qui peuvent obtenir le numéro de série d'une imprimante peuvent l'utiliser pour dériver mathématiquement le mot de passe par défaut.

Un autre problème, CVE-2024-51977, peut permettre à un attaquant non authentifié de divulguer des informations sensibles de l'imprimante, y compris son numéro de série. En chaînant ces deux vulnérabilités, un attaquant distant pourrait potentiellement obtenir un contrôle administratif complet sur une imprimante vulnérable qui utilise toujours son mot de passe en usine.

Une fois qu'un attaquant a un accès administratif, il peut exploiter les six autres vulnérabilités découvertes par Rapid7. Ces défauts moindres, mais toujours significatifs, pourraient permettre à un attaquant de récupérer des données sensibles, de placer l'appareil, de forcer l'imprimante à ouvrir des connexions TCP arbitraires, à exécuter les demandes HTTP non autorisées et à exposer les mots de passe pour les services réseau connectés comme LDAP et FTP. Chacune de ces vulnérabilités pourrait ne pas faire grand-chose par elles-mêmes, mais toutes ensemble, elles pourraient être en fait dangereuses.

En rapport

Comment activer le mode d'impression protégée Windows (et pourquoi vous devriez)

Votre imprimante ne peut pas vous blesser … n'est-ce pas?

Sept des huit vulnérabilités peuvent être corrigées en appliquant les dernières mises à jour du micrologiciel publiées par les fabricants, mais Brother a déclaré que le défaut critique de la génération de mots de passe (CVE-2024-51978) « ne peut pas être entièrement correctement corrigé dans le firmware. » La société a indiqué qu'un changement dans le processus de fabrication abordera le problème des futurs appareils, mais les imprimantes existantes continueront d'être vulnérables.

Pour les centaines de milliers d'imprimantes vulnérables déjà dans les maisons et les bureaux, la recommandation principale (et la plus urgente) des experts en sécurité et des fabricants eux-mêmes est de modifier immédiatement le mot de passe administrateur par défaut. Cela peut généralement être fait via l'interface de gestion Web de l'imprimante. Une fois que vous avez fait cela, les attaquants ne devraient pas être en mesure d'exploiter le défaut de génération de mots de passe non visible. Si vous vous sentez toujours peu sûr, vous pouvez également remplacer votre imprimante, mais en remplaçant votre mot de passe, cela pourrait ne pas être nécessaire.