Le stampanti multifunzione, da sempre considerate strumenti innocui per l’ufficio, si rivelano ora un potenziale incubo di sicurezza informatica. La compagnia di cybersecurity Rapid7, durante un processo di analisi di vulnerabilità zero-day, ha scoperto ben 8 bug che colpiscono centinaia di stampanti Brother. Una di queste falle, classificata come critica, consente addirittura di ottenere la password di amministratore del dispositivo. I bug, individuati a maggio dello scorso anno, sono stati resi noti solo ora.
Questo problema coinvolge 689 modelli Brother, tra stampanti, scanner e dispositivi per l’etichettatura. Ma non è solo Brother a essere finita sotto la lente: altri 59 modelli vulnerabili appartengono ai marchi FUJIFILM Business Innovation, Ricoh, Toshiba Tec Corporation e Konica Minolta, portando il totale a 748 modelli. vulnerabili a uno o più dei bug individuati.
La vulnerabilità principale, catalogata come CVE-2024-51978, consente a un attaccante di ottenere il numero di serie del dispositivo e usarlo per recuperare la password di amministratore, sfruttando un difetto nel metodo di generazione della password predefinita dei dispositivi Brother. Come spiega Stephen Fewer di Rapid7, “Ciò è dovuto alla scoperta della procedura di generazione della password predefinita utilizzata dai dispositivi Brother”. “Questa procedura trasforma un numero di serie in una password predefinita. La password predefinita dei dispositivi interessati è stata impostata durante il processo di produzione, in base al numero di serie univoco di ciascun dispositivo”.
Una volta in possesso della password di amministratore, un attaccante può modificare a proprio piacimento le impostazioni del dispositivo, accedere ai documenti archiviati e sfruttare ulteriori falle presenti nel modello.
Rapid7 ha identificato altre sette falle, tre delle quali considerate di gravità elevata. Due di esse (CVE-2024-51982 e CVE-2024-51983) permettono a un attaccante di interrompere l’operatività del dispositivo, mentre la terza (CVE-2024-51978) permette di scatenare un buffer-overflow.
Le restanti quattro vulnerabilità, classificate come di media gravità, comprendono: la CVE-2024-51977, che può essere sfruttata per accedere a informazioni sensibili; la CVE-2024-51980, che consente di forzare il dispositivo a stabilire una connessione TCP; la CVE-2024-51981, che permette di indurre il dispositivo a inviare una richiesta HTTP; e infine la CVE-2024-51984, attraverso cui un attaccante può ottenere la password di un altro dispositivo esterno.
Brother ha rilasciato aggiornamenti firmware per mitigare per tutte le vulnerabilità. Tuttavia, nel caso della più critica, la CVE-2024-51978, l’aggiornamento non risolve il bug, ma applica un workaround per limitare i rischi. Brother ha chiarito che, trattandosi di una vulnerabilità legata alla logica stessa del processo produttivo, il problema non è risolvibile tramite semplici aggiornamenti firmware, ma richiede una revisione del processo produttivo alla base dei modelli.
