Uma vasta gama de impressoras e equipamentos multifunções, incluindo 689 modelos da Brother e dezenas de outros da Fujifilm, Toshiba e Konica Minolta, possuem uma vulnerabilidade crítica que não pode ser totalmente corrigida através de uma simples atualização de firmware. A falha, descoberta por investigadores da Rapid7, permite que atacantes remotos consigam gerar a palavra-passe de administrador padrão dos equipamentos.
A vulnerabilidade, identificada como CVE-2024-51978, faz parte de um conjunto de oito falhas de segurança encontradas após uma análise exaustiva ao hardware da Brother. O problema reside no próprio processo de fabrico, tornando todos os equipamentos produzidos antes desta descoberta permanentemente suscetíveis se não forem tomadas medidas manuais pelos utilizadores.
Uma palavra-passe perigosamente previsível
O cerne do problema está na forma como a palavra-passe de administrador padrão é gerada durante o fabrico. O processo utiliza um algoritmo que tem por base o número de série único de cada equipamento. De acordo com a análise técnica detalhada da Rapid7, este algoritmo é facilmente reversível.
Um atacante que consiga obter o número de série da impressora — seja através de meios físicos ou explorando outra vulnerabilidade (CVE-2024-51977) — pode utilizar o mesmo processo para calcular a palavra-passe de administrador. Com estas credenciais, o acesso ao equipamento fica totalmente comprometido.
Os perigos do acesso de administrador
Uma vez com acesso de administrador, um atacante pode realizar uma série de ações maliciosas. Estas incluem a reconfiguração da impressora, o acesso a documentos digitalizados que possam estar armazenados na memória, a leitura de listas de contactos e a exploração de outras vulnerabilidades para executar código remotamente (CVE-2024-51979) ou para roubar credenciais de outros serviços na rede (CVE-2024-51984).
O processo de divulgação responsável foi iniciado pela Rapid7 em maio de 2024, com a ajuda do JPCERT/CC para coordenar a comunicação com os vários fabricantes afetados.
Uma falha de fabrico, não de software
O aspeto mais preocupante desta vulnerabilidade é que a sua origem está na lógica de geração de palavras-passe implementada no hardware durante o fabrico. Consequentemente, qualquer dispositivo fabricado antes da descoberta terá uma palavra-passe previsível, a menos que os utilizadores a alterem manualmente.
A Rapid7 explica a situação referente à falha CVE-2024-51978: "A Brother indicou que esta vulnerabilidade não pode ser totalmente remediada no firmware e exigiu uma alteração no processo de fabrico de todos os modelos afetados." Isto significa que apenas os novos equipamentos produzidos após esta alteração estarão imunes à falha de origem.
Ação imediata: O que fazer se tiver uma destas impressoras
Os proprietários dos modelos de impressoras afetados devem considerar os seus dispositivos como vulneráveis e tomar medidas imediatas para mitigar o risco.
Mudar a palavra-passe de administrador: Este é o passo mais crítico e a única forma de anular a vulnerabilidade CVE-2024-51978 em equipamentos existentes. Altere a palavra-passe padrão para uma nova, forte e única.
Aplicar atualizações de firmware: Embora as atualizações não corrijam a falha da palavra-passe, elas são essenciais para corrigir as outras sete vulnerabilidades descobertas pela Rapid7, incluindo as que permitem a execução de código ou a fuga de informação.
Restringir o acesso: Como boa prática, o acesso às interfaces de administração da impressora deve ser restringido, evitando a sua exposição a redes não seguras ou à internet.
Os fabricantes já disponibilizaram boletins de segurança com instruções detalhadas. Pode consultá-los nos seguintes links:
Nenhum comentário
Seja o primeiro!