Selon un éditeur de sécurité, plusieurs imprimantes Brother comprennent une vulnérabilité critique codée en dur en usine. Elle peut être combinée à une autre faille pour exécuter du code à distance.
Les imprimantes sont parfois utilisées par les cybercriminels pour diffuser des malwares, mais il arrive aussi que ces périphériques comprennent des failles. Rapid7 vient d’en découvrir une au sein de plusieurs centaines de modèles de Brother. Il s’agit d’une vulnérabilité de contournement du mot de passe administrateur. Elle existe depuis la fabrication des imprimantes et ne peut pas être corrigée par un firmware. Au total, 689 modèles d’appareils différents sont concernés.
Un contournement d’authentification
Rapid7 a découvert huit vulnérabilités, mais la CVE-2024-51978 est la plus critique avec un CVSS de 9,8 sur 10. « La procédure de génération de mot de passe utilisée par les appareils Brother transforme un numéro de série en mot de passe par défaut », précise l’éditeur sur son blog. D’autres bogues qualifiés de sérieux ont été découverts, notamment des fuites d’informations, des falsifications de requêtes côté serveur, des failles provoquant des plantages et la divulgation d’informations d’identification.
Parmi elles, il y a la faille de divulgation d’informations, référencée CVE-2024-51977 et qualifiée de gravité moyenne. Elle pourrait aussi donner la capacité à un attaquant de divulguer le numéro de série unique requis via les services HTTP, HTTPS et IPP de la cible. Mais il est également possible de récupérer le numéro de série par une requête plus honnête utilisant SNMP (simple network management protocol) ou PJL (Printer Job Language). Une fois l’accès administrateur obtenu, il peut être utilisé pour exploiter une vulnérabilité très critique de débordement de mémoire tampon CVE-2024-51979 basée sur la pile (CVSS 7.2) accessible via les mêmes interfaces (canaux de communication ou ports) que la première.
Un angle mort de la sécurité
En combinant ces failles, des attaquants pourraient effectivement exécuter du code à distance non authentifié en envoyant une entrée malveillante spécialement conçue à travers le débordement de mémoire. À propos de cette découverte, John Bambanek, de Bambanek Consulting, a fait remarquer que les imprimantes restaient un point aveugle classique de la sécurité informatique. « Les imprimantes sont souvent des appareils informatiques que l’on branche et que l’on oublie, et il est facile de négliger les mises à jour et les correctifs de sécurité », a-t-il déclaré.
« Cependant, elles sont dotées de systèmes d’exploitation et peuvent être utilisées pour faciliter les mouvements latéraux et la persistance des attaquants qui souhaitent rester discrètement dans un environnement cible ». Rapid7 note qu’en enchaînant ces deux vulnérabilités, les attaquants peuvent exercer un contrôle total sans avoir besoin d’informations d’identification ou d’un accès physique. Si Brother a remédié à la vulnérabilité CVE-2024-51979 par des mises à jour du firmware, la correction de la vulnérabilité CVE-2024-51978 nécessite de remplacer l’imprimante par un modèle ne présentant pas ce défaut de fabrication. « Brother a indiqué qu’il était impossible de corriger totalement cette vulnérabilité en mettant à jour le un firmware et que la seule solution était de modifier le processus de fabrication de tous les modèles concernés », a précisé Rapid7. Brother n’a pas répondu à une demande de commentaire de CSO.
Des fuites de données aux pannes complètes de l’appareil
L’éditeur de sécurité a identifié sept autres vulnérabilités dans les appareils Brother, dont la gravité varie de légèrement inquiétante à potentiellement perturbatrice. Parmi les plus graves, Rapid7 signale deux bogues de déni de service (DOS) référencés CVE-2024-51982 et CVE-2024-51983, avec des scores CVSS de 7,5 chacun, qui peuvent faire planter les appareils via des entrées PJL ou HTTP malformées. Deux autres vulnérabilités, référencées CVE-2024-51980 et CVE-2024-51981, permettent de falsifier des requêtes côté serveur (SSRF), avec la possibilité pour les imprimantes d’envoyer des requêtes élaborées dans des réseaux internes avec lesquels elles ne devraient pas communiquer.
Dans les environnements d’entreprise, des attaquants pourraient exploiter ces failles pour sonder les services internes, contourner les contrôles d’accès ou pénétrer plus profondément dans le réseau. Enfin, la faille CVE-2024-51984 expose les informations d’identification en clair pour des services tels que LDAP ou FTP à des utilisateurs authentifiés, ce qui constitue une entrée potentielle pour une compromission plus large. Outre les 689 modèles d’imprimantes, de scanners et d’étiqueteuses Brother, certaines vulnérabilités affectent 46 modèles Fujifilm, 5 modèles Ricoh, 2 modèles Toshiba Tec et 6 modèles Konica Minolta. « À l’exception de la faille de Brother concernant le contournement de l’administration, toutes les vulnérabilités ont été corrigées par des mises à jour du firmware », a ajouté Rapid7.