S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Pluie de vulnérabilités sur des centaines de modèles d’imprimantes

Plus il y a de fromage, plus il y a de trous

Pluie de vulnérabilités sur des centaines de modèles d’imprimantes

Illustration : Flock

Après avoir passé au crible des imprimantes multifonctions Brother, des chercheurs en sécurité ont découvert huit vulnérabilités. Ces failles touchent une vaste partie de la gamme du fabricant japonais, mais aussi des appareils de concurrents comme Toshiba, Fujifilm, Ricoh. Au total, 748 modèles sont vulnérables. Brother a admis que la faille la plus grave ne pourrait pas être corrigée, et appelle à changer en urgence le mot de passe administrateur des machines concernées.

S’attendaient-ils à une moisson aussi abondante ? Des chercheurs de la firme spécialisée Rapid7 ont conduit à partir de mai 2024 un audit de sécurité sur plusieurs imprimantes multifonctions du constructeur japonais Brother. Leurs travaux ont permis d’identifier huit failles de sécurité exploitables qui n’avaient pas encore été documentées. Ils ont par ailleurs confirmé que plusieurs de ces vulnérabilités affectaient une part significative du catalogue produit du constructeur, y compris sur des gammes autres que les imprimantes multifonctions.

Au total, ils affirment que 689 appareils sont vulnérables chez Brother. La marque n’aurait cependant pas l’exclusivité : une partie de ces failles auraient également été constatées sur 46 imprimantes Fujifilm, six chez Konica Minolta, cinq chez Ricoh, deux chez Toshiba, pour un total de 748 modèles touchés.

Une vulnérabilité impossible à corriger

La plus sérieuse de ces failles, enregistrée sous la référence CVE-2024-51978 et qualifiée de critique, est estampillée d’un score de vulnérabilité (CVSS) de 9,8/10. Relativement simple à mettre en œuvre, elle permet selon Rapid7 à un attaquant qui dispose du numéro de série de l’appareil d’en modifier le mot de passe administrateur par défaut.

Les chercheurs expliquent à ce niveau avoir découvert sur une imprimante MFC L9570CDW que le mot de passe par défaut de l’administration était une séquence de huit caractères, générée via un algorithme à partir du numéro de série de la machine. Un attaquant qui disposerait de ce numéro de série serait donc en mesure de générer ce mot de passe et donc de prendre le contrôle de la machine, ou d’en modifier les identifiants d’accès. Le chiffrement apparait en effet défaillant aux yeux des chercheurs. « On ne sait pas clairement quelle propriété cryptographique cet algorithme cherche à atteindre ; il semble plutôt qu’il s’agisse d’une tentative de dissimulation de la technique de génération de mot de passe par défaut », commentent les auteurs.

Le problème, c’est que ce numéro de série serait lui-même vulnérable, notamment en raison d’une autre des huit failles découvertes. La faille CVE-2024-51977 ouvre en effet un accès non autorisé, sans authentification préalable, aux informations contenues dans le fichier /etc/mnt_info.csv. « Les informations divulguées incluent le modèle de l’appareil, la version du micrologiciel, l’adresse IP et le numéro de série », précise la notice.

En réponse à cette double découverte, Brother invite les utilisateurs à modifier sans délai le mot de passe administrateur des appareils concernés. La mesure s’impose à tous, sans attendre un éventuel correctif. « Brother a indiqué que cette vulnérabilité ne peut pas être entièrement corrigée dans le firmware et a exigé une modification du processus de fabrication de tous les modèles concernés », affirme Rapid7. En attendant cette modification, les appareils restent donc vulnérables.

Un an avant divulgation

Brother a devancé l’annonce de Rapid7 avec la mise en ligne, le 19 juin dernier, d’une note d’information, qui précise la conduite à tenir face à chacune des dernières vulnérabilités documentées et rendues publiques. Outre la modification du mot de passe administrateur, suggérée comme réponse à trois vulnérabilités, Brother recommande de désactiver temporairement la fonction WSD (Web Services for Devices) et le TFTP (Trivial File Transfer Protocol), en attendant une mise à jour du firmware de l’appareil concerné. Les autres fabricants incriminés ont, eux aussi, publié des alertes dédiées, et annoncé le déploiement prochain de correctifs (Fujifilm, Ricoh, Toshiba, Konica Minolta).

Comme souvent dans ce genre de travaux, ces découvertes ont conduit à des échanges entre les chercheurs et les constructeurs concernés, échanges organisés sous l’égide d’une autorité tierce. Ici, c’est le JPCERT/CC, centre d’alerte et de réaction japonais, qui a servi d’intermédiaire et a fixé à un an le délai avant publication des éléments techniques associés aux failles découvertes.

Commentaires (17)

votre avatar
Vu le nombre d'imprimantes indiquées, on peut considérer qu'en première approximation, toutes les imprimantes Brother sont concernées. Mais si je comprend bien la faille, si l'imprimante n'est pas connectée à Internet, il n'y a aucun risque à la maison (en entreprise c'est différent, même si l'imprimante n'est que sur le réseau interne).
votre avatar
votre avatar
Merci !! Cela faisait quelques semaines/mois que je repensais à cette pub mais je n'avais jamais pris le temps de la rechercher.
Je ne sais pas de quand elle date : je dirais fin 90' début 2000's ?
votre avatar
Un attaquant pourrait prendre le contrôle de l'imprimante. Ok mais que peut-il faire de plus ? Est-ce que ça lui permet d'accéder au réseau sur lequel est connectée l'imprimante ? Je ne vois pas bien la dangerosité de la faille : une imprimante ne permet d’accéder aux fichiers d'un réseau comme le ferait un ordinateur.
votre avatar
Une imprimante multi-fonctions connectée, si: tu peux très bien envoyer les scans dans un NAS par exemple.
Et intercepter tout ce qui est imprimé et scanné via le spooler.
Utilité plus probable: faire de l'imprimante un bot d'attaque type DDOS, ce qu'on voit déjà à partir de pas mal d'iot pas sécurisés.
votre avatar
Serveur web,ftp, seedbox
votre avatar
Je ne vois pas bien la dangerosité de la faille : une imprimante ne permet d’accéder aux fichiers d'un réseau comme le ferait un ordinateur.
Tout dépend de la configuration. Certaines imprimantes multifonctions sont tout à fait capable de déposer des fichiers de scan via un partage réseau.

Certaines peuvent aussi envoyer des mails.

Au delà de tout ça, c'est une porte dans ton réseau local. Peut être qu'ils ne pourront rien en faire. Ou peut être au contraire pourront-ils l'exploiter pour trouver d'autres périphérique (ordi, IoT, NAS, etc.) avec une faille exploitable.

En bref, la faille elle-même n'est pas forcément un énorme danger, mais coupler à d'autres, cela peut le devenir très vite.
votre avatar
Récupérer tous les documents confidentiels imprimés par cette imprimante ? Point de rebond dans le réseau interne pour mener des attaques plus complexes ?
Les MFP en entreprise ce ne sont pas juste des imprimantes. Ça se synchronise avec l'AD pour avoir toutes les infos d'annuaire, pour pouvoir "scan to email" facilement juste en tapant le début du nom de la personne qui doit recevoir le scan, ça se connecte à des FTP ou autres partages réseau pour déposer des documents, ...
J'ai eu l'occasion de passer 6 mois sur un projet de refonte des impressions dans une banque Luxembourgeoise (passer de "chacun a sa propre imprimante sous son bureau" à des "Print Corners") et les problématiques de sécurisation sont multiples et très diverses. Par exemple, on a retiré les cartes fax de toutes les imprimantes pour ne pas avoir de pont physique entre le réseau téléphonique et le LAN.
Si tu veux t'amuser, va acheter une imprimante multifonction d'entreprise d'occasion, un modèle suffisamment évolué pour avoir un disque dur dedans. Il y a de fortes chances que celui-ci ne soit pas chiffré et a des mois de cache de documents imprimés et scannés disponibles dessus. Une mine d'or pour des attaquants.
votre avatar
Il y a déjà eu au moins une attaque réseau en passant par la fonction fax d'une imprimante qui était à la fois reliée au réseau téléphonique et au réseau local, j'avais vu passer l'info il y a qques années.
Avec une "vraie" faille comme ici, ca facilite le travail.
votre avatar
Je sais quoi faire ce soir en rentrant chez moi. Ça sera rapide.

Bon point à souligner avec Brother : leur suivi dans le temps. Firmwares comme pilotes.
votre avatar
Sur ma petite Epson Jet d'encre, le mot de passe EST le numéro de série de l'imprimante, que l'on trouve en soulevant le capot devant soi...

Bon après, même si elle est en Wi-Fi, les enjeux pour un hacker ne sont pas énormes...
votre avatar
et plus il y a de trous, moins il y a de fromage. Donc plus il y a de fromage et moins il y a de fromage :mad2:
votre avatar
Connaisseur :francais:
votre avatar
Sous un autre angle plus général, si des vulnérabilités permettent l'usage de consommables génériques je ne suis pas en désaccord avec l'emploi de ces failles.
[Je ne connecte pas mon imprimante à l'internet laitier. :D]
votre avatar
Voilà pourquoi mon imprimante n’a pas accès à internet (bloqué via le routeur, elle est quand même dispo sur le LAN). Au pasage ça évite qu’HP la brique à distance pour une histoire d’abonnement de cartouches.
votre avatar
Oui, mais attention: une erreur de config ponctuelle sur ce routeur, et hop, l'imprimante va chopper le dernier "firmware à jour".

Ca m'est arrivé avec la mienne; résultat: j'ai un firmware me bloquant les cartouches non-HP. Super. Il a fallut seulement 10 min pendant lesquels je testais un truc sur le routeur. Quelle m.... :plantage: !!!
votre avatar
Ouf. J’ai eu peur, mais mon modèle n’est pas concerné, il est trop vieux, il a le mot de passe par défaut « admin / access » qui apparemment est toujours sécurisé, lui :fume: .