Falla irreparabile in stampanti Brother: password a rischio per 689 modelli

La società di sicurezza Rapid7 ha individuato otto vulnerabilità in stampanti multifunzione Brother e di altri marchi, evidenziando in particolare una falla critica (CVE-2024-51978) che permette ad aggressori remoti di generare la password amministratore predefinita. Si tratta di un problema ha origine nel processo produttivo della stampante e che non è risolvibile via firmware.

In totale sono ben 689 i modelli Brother interessati, insieme a ulteriori 59 dispositivi di altri produttori (46 di FUJIFILM Business Innovation, 6 di Konica Minolta, 5 di Ricoh e 2 di Toshiba Tec Corporation). Queste stampanti presentano una password amministratore predefinita calcolabile tramite un algoritmo che si basa sul numero seriale del dispositivo. Questo metodo di generazione, utilizzato durante la produzione, trasforma i primi 16 caratteri del seriale aggiungendo 8 byte derivati da una tabella statica, applica un hash SHA256, codifica in Base64 il risultato e sostituisce infine alcuni caratteri con simboli speciali per ottenere la password finale. Se la password amministratore predefinita non è mai stata cambiata, la stampante è come se fosse, di fatto, senza alcuna protezione.

La vulnerabilità CVE-2024-51978 può essere sfruttata in combinazione con altre falle scoperte da Rapid7. In particolare, sfruttando la CVE-2024-51977 per ottenere il numero seriale del dispositivo, un aggressore non autenticato può generare la password predefinita, accedere all'interfaccia amministrativa, riconfigurare la stampante, accedere a scansioni archiviate, rubare rubriche, eseguire codice remoto tramite CVE-2024-51979 o sottrarre credenziali grazie a CVE-2024-51984. Queste catene di attacco consentono anche di causare il blocco dei dispositivi e preparare il terreno all'infiltrazione nelle reti aziendali.

Sebbene Brother abbia rilasciato aggiornamenti firmware per sette delle otto vulnerabilità, la CVE-2024-51978 non può essere risolta tramite patch software. La casa giapponese ha modificato il processo produttivo per i nuovi dispositivi, ma per i modelli esistenti l'unica contromisura efficace è la modifica manuale della password amministratore predefinita. Rapid7 ha coordinato la divulgazione delle vulnerabilità con JPCERT/CC nell'arco di tredici mesi, coinvolgendo anche gli altri produttori interessati.

I ricercatori sottolineano che i dispositivi non connessi a reti esterne o con funzionalità di rete disabilitate sono esenti da questi rischi. Tuttavia, durante l'indagine sono stati identificati 5739 stampanti Brother esposte pubblicamente a Internet, amplificando la superficie di attacco potenziale. Gli utenti dei modelli interessati sono invitati a cambiare immediatamente le credenziali predefinite e applicare gli ultimi aggiornamenti firmware disponibili.

Di seguito le comunicazioni ufficiali dei vari produttori, comprensive dei modelli interessati:

• Brother - Stampanti laser e getto d'inchiostro
  
• Brother - Scanner documentali
  
• Brother - Stampanti Etichette
  
• FUJIFILM - Stampanti
  
• Ricoh - Stampanti
  
• Toshiba Tec Corporation - Stampanti
  
• Konica Minolta, Inc. - Stampanti