การละเมิดความปลอดภัยครั้งสำคัญได้เกิดขึ้นในอุตสาหกรรมเครื่องพิมพ์ โดยนักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบช่องโหว่หลายจุดที่เปิดโอกาสให้อุปกรณ์หลายแสนเครื่องตกเป็นเป้าหมายของการโจมตีทางไกล การค้นพบนี้เน้นย้ำถึงข้อบกพร่องพื้นฐานในแนวทางที่ผู้ผลิตใช้ต่อความปลอดภัยของอุปกรณ์ โดยเฉพาะเกี่ยวกับระบบการสร้างรหัสผ่านเริ่มต้นที่ไม่เปลี่ยนแปลงมาเป็นปี
ช่องโหว่ร้ายแรงไม่สามารถแก้ไขผ่านการอัปเดตซอฟต์แวร์ได้
บริษัทความปลอดภัย Rapid7 ได้ระบุช่องโหว่แปดจุดที่แตกต่างกันใน 748 รุ่นเครื่องพิมพ์จากผู้ผลิตรายใหญ่ห้าราย โดยข้อบกพร่องที่ร้ายแรงที่สุดได้รับคะแนน CVSS วิกฤติที่ 9.8 ช่องโหว่ที่ระบุเป็น CVE-2024-51978 ช่วยให้ผู้โจมตีสามารถสร้างรหัสผ่านผู้ดูแลระบบเริ่มต้นของอุปกรण์ได้โดยใช้เพียงหมายเลขซีเรียลของเครื่องพิมพ์เท่านั้น สิ่งนี้แสดงถึงข้อบกพร่องพื้นฐานในการออกแบบที่ไม่สามารถแก้ไขได้ผ่านการอัปเดตเฟิร์มแวร์แบบดั้งเดิม เนื่องจากอัลกอริทึมการสร้างรหัสผ่านถูกฝังอยู่ในกระบวนการผลิตเอง
Brother ได้ยอมรับว่าช่องโหว่นี้โดยเฉพาะไม่สามารถแก้ไขได้อย่างสมบูรณ์ในเฟิร์มแวร์ และจะได้รับการแก้ไขเฉพาะผ่านการเปลี่ยนแปลงในกระบวนการผลิตในอนาคตเท่านั้น ซึ่งหมายความว่าอุปกรณ์ที่มีอยู่ในบ้านและสำนักงานทั่วโลกยังคงเสี่ยงต่อการถูกโจมตีอย่างถาวร เว้นแต่ผู้ใช้จะดำเนินการเปลี่ยนรหัสผ่านเริ่มต้นทันที
การแจกแจงช่องโหว่:
- CVE-2024-51978: วิกฤต (CVSS 9.8) - ข้อบกพร่องในการสร้างรหัสผ่านเริ่มต้นที่ไม่สามารถแก้ไขได้
- CVE-2024-51977: การเปิดเผยข้อมูล - สามารถแก้ไขได้
- CVE-2024-51979: การรันโค้ดจากระยะไกล - สามารถแก้ไขได้
- CVE-2024-51980: การเข้าถึงโดยไม่ได้รับอนุญาต - สามารถแก้ไขได้
- CVE-2024-51981: การจัดการการกำหนดค่า - สามารถแก้ไขได้
- CVE-2024-51982: การปฏิเสธการให้บริการ - สามารถแก้ไขได้
- CVE-2024-51983: การปฏิเสธการให้บริการ - สามารถแก้ไขได้
- CVE-2024-51984: การขโมยข้อมูลประจำตัว - สามารถแก้ไขได้
ผลกระทบอย่างกว้างขวางข้ามผู้ผลิตหลายราย
ข้อบกพร่องด้านความปลอดภัยส่งผลกระทบต่อเครื่องพิมพ์ Brother 689 รุ่น ซึ่งคิดเป็นส่วนใหญ่ของอุปกรณ์ที่ได้รับผลกระทบ นอกจากนี้ 59 รุ่นจากผู้ผลิตอื่น ๆ รวมถึง Fujifilm Business Innovation , Ricoh , Toshiba Tec และ Konica Minolta ก็เสี่ยงต่อการถูกโจมตีเช่นกัน ขอบเขตของปัญหาขยายไปเกินกว่าเครื่องพิมพ์แบบดั้งเดิมไปถึงเครื่องสแกนเนอร์และอุปกรณ์ทำป้ายกำกับ ซึ่งบ่งชี้ว่าปัญหาความปลอดภัยพื้นฐานเป็นปัญหาระบบทั่วทั้งอุตสาหกรรม
ช่องโหว่เหล่านี้ช่วยให้ผู้โจมตีสามารถดำเนินกิจกรรมที่เป็นอันตรายต่าง ๆ ได้เมื่อพวกเขาเข้าถึงได้ รวมถึงการดึงข้อมูลที่ละเอียดอ่อน การทำให้อุปกรณ์ขัดข้องทางไกล การสร้างการเชื่อมต่อเครือข่ายที่ไม่ได้รับอนุญาต การดำเนินการคำขอ HTTP ตามอำเภอใจ และการขโมยรหัสผ่านสำหรับบริการเครือข่ายที่เชื่อมต่อ ความสามารถเหล่านี้อาจช่วยให้อาชญากรไซเบอร์ใช้เครื่องพิมพ์ที่ถูกบุกรุกเป็นจุดเข้าสู่เครือข่ายขององค์กรหรือเพื่อเข้าถึงเอกสารลับ
จำนวนอุปกรณ์ที่ได้รับผลกระทบจำแนกตามผู้ผลิต:
- Brother: 689 รุ่น (เครื่องพิมพ์, เครื่องสแกน, เครื่องพิมพ์ฉลาก)
- Fujifilm Business Innovation: 46 เครื่องพิมพ์
- Ricoh: 5 เครื่องพิมพ์
- Toshiba Tec: 2 อุปกรณ์
- Konica Minolta: 6 รุ่น
- อุปกรณ์ที่ได้รับผลกระทบทั้งหมด: 748 รุ่น จาก 5 ผู้ผลิต
มีวิธีแก้ไขบางส่วนสำหรับช่องโหว่ส่วนใหญ่
แม้ว่าช่องโหว่หลักจะยังคงไม่สามารถแก้ไขได้ แต่ Brother และผู้ผลิตอื่น ๆ ที่ได้รับผลกระทบได้ปล่อยการอัปเดตเฟิร์มแวร์ที่แก้ไขเจ็ดจากแปดข้อบกพร่องที่ค้นพบ การอัปเดตเหล่านี้แก้ไขปัญหาต่าง ๆ รวมถึงการเปิดเผยข้อมูล การดำเนินโค้ดทางไกล การโจมตีแบบปฏิเสธการให้บริการ และการขโมยข้อมูลประจำตัว ผู้ใช้สามารถดาวน์โหลดการอัปเดตเหล่านี้จากหน้าสนับสนุนของผู้ผลิตแต่ละราย แม้ว่ากระบวนการติดตั้งจะแตกต่างกันไปตามรุ่นและอาจต้องใช้ความเชี่ยวชาญทางเทคนิค
ช่องโหว่ที่เหลือซึ่งไม่สามารถแก้ไขได้สามารถลดความเสี่ยงได้เฉพาะผ่านการกระทำของผู้ใช้เท่านั้น ผู้ผลิตแนะนำอย่างยิ่งให้ผู้ใช้ทุกคนเปลี่ยนรหัสผ่านผู้ดูแลระบบเริ่มต้นของเครื่องพิมพ์ทันทีผ่านอินเทอร์เฟซการจัดการบนเว็บของอุปกรณ์ ขั้นตอนง่าย ๆ นี้ช่วยลดภัยคุกคามได้อย่างมีประสิทธิภาพ เนื่องจากผู้โจมตีจะไม่สามารถใช้รหัสผ่านเริ่มต้นที่คาดเดาได้อีกต่อไป แม้ว่าพวกเขาจะได้รับหมายเลขซีเรียลของอุปกรณ์
ไทม์ไลน์:
- พฤษภาคม 2024: Rapid7 ค้นพบช่องโหว่
- 25 มิถุนายน 2024: เปิดเผยข้อบกพร่องด้านความปลอดภัยต่อสาธารณะ
- สถานะปัจจุบัน: มีการอัปเดตเฟิร์มแวร์สำหรับช่องโหว่ 7 จาก 8 ช่องโหว่
- การแก้ไขในอนาคต: การเปลี่ยนแปลงกระบวนการผลิตสำหรับอุปกรณ์ใหม่เท่านั้น
ผลกระทบด้านความปลอดภัยทั่วทั้งอุตสาหกรรม
การค้นพบนี้ทำให้เกิดคำถามที่กว้างขึ้นเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยในระบบนิเวศ Internet of Things ซึ่งอุปกรณ์จำนวนมากถูกส่งมาพร้อมกับข้อมูลประจำตัวเริ่มต้นที่อ่อนแอซึ่งผู้ใช้ไม่ค่อยได้ปรับเปลี่ยน ความจริงที่ว่าช่องโหว่ร้ายแรงไม่สามารถแก้ไขได้เน้นย้ำถึงความสำคัญของหลักการปลอดภัยตามการออกแบบในกระบวนการผลิต ผู้เชี่ยวชาญด้านความปลอดภัยเน้นว่าเหตุการณ์นี้ควรเป็นสัญญาณเตือนสำหรับทั้งผู้ผลิตและผู้บริโภคเกี่ยวกับความสำคัญของการเปลี่ยนรหัสผ่านเริ่มต้นในอุปกรณ์ที่เชื่อมต่อทั้งหมด ไม่ใช่เพียงคอมพิวเตอร์และเราเตอร์เท่านั้น
ไทม์ไลน์ของการเปิดเผย โดย Rapid7 ระบุปัญหาครั้งแรกในเดือนพฤษภาคม 2024 และเปิดเผยรายละเอียดต่อสาธารณะในเดือนมิถุนายน เป็นไปตามแนวปฏิบัติการเปิดเผยอย่างรับผิดชอบที่ให้เวลาผู้ผลิตในการพัฒนาการแก้ไขบางส่วนก่อนการประกาศต่อสาธารณะ อย่างไรก็ตาม การคงอยู่ของช่องโหว่ที่ไม่สามารถแก้ไขได้หมายความว่าการศึกษาผู้ใช้และมาตรการความปลอดภัยเชิงรุกยังคงเป็นการป้องกันหลักต่อการโจมตีที่อาจเกิดขึ้น