独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月21日、キヤノン製プロダクションプリンタおよびオフィス/スモールオフィス向け複合機、レーザービームプリンタにおけるpassback攻撃が可能になる脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。対象機種は以下の通り。
imageRUNNER ADVANCEシリーズ
imageRUNNERシリーズ
imagePRESS Vシリーズ
imagePRESSシリーズ
Sateraシリーズ
※詳細な機種名は下記対象機種一覧を参照
https://canon.jp/-/media/Project/Canon/CanonJP/Website/support/support-info/250519vulnerability-response/model-250519.pdf
キヤノン株式会社が提供するプロダクションプリンタおよびオフィス/スモールオフィス向け複合機、レーザービームプリンタには、passback攻撃が可能になる脆弱性が存在し、当該製品が(SMTPサーバやLDAPサーバなどのような)外部システムを使用するよう設定されている場合、管理者権限を持ったユーザーが、平文で認証情報を送信するよう機器を操作することで、その外部システムの認証情報を取得する可能性がある。
キヤノンでは、信頼できない第三者からのアクセスを防ぐため、下記のワークアラウンドの適用を推奨している。
・インターネットに直接接続せず、ファイアーウォール製品や有線ルーターあるいはWi-Fiルータで構築した安全なプライベートネットワークからインターネットにアクセスできる環境で、プライベートIPアドレスを設定して使用する
・初期パスワードが設定されている場合は変更する
・管理者と一般ユーザーのID/パスワードが設定できる場合は設定する
・各種機能のパスワード等の設定は、予測しにくい値にする
・製品に認証機能がある場合は、その機能を有効にし、製品を利用できるユーザーを管理する
・製品に多要素認証機能がある場合は、その機能を有効にし、製品を利用できるユーザーを管理する。
製品の設置場所など、物理的なセキュリティに配慮する
