Một vi phạm bảo mật nghiêm trọng đã xuất hiện trong ngành công nghiệp máy in, khi các nhà nghiên cứu an ninh mạng phát hiện nhiều lỗ hổng khiến hàng trăm nghìn thiết bị có nguy cơ bị tấn công từ xa. Phát hiện này làm nổi bật một khuyết điểm cơ bản trong cách các nhà sản xuất tiếp cận bảo mật thiết bị, đặc biệt liên quan đến hệ thống tạo mật khẩu mặc định đã không thay đổi trong nhiều năm.
Lỗ Hổng Nghiêm Trọng Không Thể Khắc Phục Thông Qua Cập Nhật Phần Mềm
Công ty bảo mật Rapid7 đã xác định tám lỗ hổng riêng biệt trên 748 mẫu máy in từ năm nhà sản xuất lớn, với lỗ hổng nghiêm trọng nhất nhận được điểm CVSS là 9.8. Lỗ hổng này, được ký hiệu CVE-2024-51978, cho phép kẻ tấn công tạo ra mật khẩu quản trị viên mặc định của thiết bị chỉ bằng cách sử dụng số sê-ri của máy in. Đây là một khuyết điểm thiết kế cơ bản không thể được giải quyết thông qua các bản cập nhật firmware truyền thống, vì thuật toán tạo mật khẩu được nhúng trong chính quy trình sản xuất.
Brother đã thừa nhận rằng lỗ hổng cụ thể này không thể được khắc phục hoàn toàn trong firmware và sẽ chỉ được giải quyết thông qua những thay đổi trong quy trình sản xuất tương lai. Điều này có nghĩa là các thiết bị hiện có trong nhà và văn phòng trên toàn thế giới vẫn dễ bị tổn thương vĩnh viễn trừ khi người dùng thực hiện hành động ngay lập tức để thay đổi mật khẩu mặc định của họ.
Phân tích lỗ hổng bảo mật:
- CVE-2024-51978: Nghiêm trọng (CVSS 9.8) - Lỗi tạo mật khẩu mặc định không thể vá
- CVE-2024-51977: Tiết lộ thông tin - Có thể vá
- CVE-2024-51979: Thực thi mã từ xa - Có thể vá
- CVE-2024-51980: Truy cập trái phép - Có thể vá
- CVE-2024-51981: Thao túng cấu hình - Có thể vá
- CVE-2024-51982: Từ chối dịch vụ - Có thể vá
- CVE-2024-51983: Từ chối dịch vụ - Có thể vá
- CVE-2024-51984: Đánh cắp thông tin xác thực - Có thể vá
Tác Động Rộng Rãi Trên Nhiều Nhà Sản xuất
Các lỗ hổng bảo mật ảnh hưởng đến 689 mẫu máy in Brother , chiếm phần lớn các thiết bị bị tác động. Ngoài ra, 59 mẫu từ các nhà sản xuất khác bao gồm Fujifilm Business Innovation , Ricoh , Toshiba Tec và Konica Minolta cũng dễ bị tổn thương. Phạm vi của vấn đề mở rộng ra ngoài máy in truyền thống để bao gồm máy quét và thiết bị làm nhãn, cho thấy rằng các vấn đề bảo mật cơ bản là có tính hệ thống trên toàn ngành.
Các lỗ hổng cho phép kẻ tấn công thực hiện nhiều hoạt động độc hại khác nhau một khi họ có được quyền truy cập, bao gồm truy xuất thông tin nhạy cảm, làm sập thiết bị từ xa, thiết lập kết nối mạng trái phép, thực thi các yêu cầu HTTP tùy ý và đánh cắp mật khẩu cho các dịch vụ mạng được kết nối. Những khả năng này có thể cho phép tội phạm mạng sử dụng máy in bị xâm phạm làm điểm vào mạng lưới doanh nghiệp hoặc để truy cập các tài liệu bí mật.
Số lượng thiết bị bị ảnh hưởng theo nhà sản xuất:
- Brother : 689 mẫu (máy in, máy quét, máy in nhãn)
- Fujifilm Business Innovation : 46 máy in
- Ricoh : 5 máy in
- Toshiba Tec : 2 thiết bị
- Konica Minolta : 6 mẫu
- Tổng số thiết bị bị ảnh hưởng: 748 mẫu từ 5 nhà sản xuất
Giải Pháp Một Phần Có Sẵn Cho Hầu Hết Các Lỗ Hổng
Trong khi lỗ hổng chính vẫn không thể vá lỗi, Brother và các nhà sản xuất bị ảnh hưởng khác đã phát hành các bản cập nhật firmware giải quyết bảy trong số tám lỗ hổng được phát hiện. Những bản cập nhật này giải quyết các vấn đề bao gồm tiết lộ thông tin, thực thi mã từ xa, tấn công từ chối dịch vụ và trộm cắp thông tin xác thực. Người dùng có thể tải xuống những bản cập nhật này từ trang hỗ trợ của nhà sản xuất tương ứng, mặc dù quy trình cài đặt khác nhau theo từng mẫu và có thể yêu cầu chuyên môn kỹ thuật.
Lỗ hổng còn lại không thể vá lỗi chỉ có thể được giảm thiểu thông qua hành động của người dùng. Các nhà sản xuất khuyến nghị mạnh mẽ rằng tất cả người dùng nên ngay lập tức thay đổi mật khẩu quản trị viên mặc định của máy in thông qua giao diện quản lý dựa trên web của thiết bị. Bước đơn giản này có hiệu quả vô hiệu hóa mối đe dọa, vì kẻ tấn công sẽ không còn có thể sử dụng mật khẩu mặc định có thể dự đoán được ngay cả khi họ có được số sê-ri của thiết bị.
Dòng thời gian:
- Tháng 5/2024: Rapid7 phát hiện các lỗ hổng bảo mật
- 25 tháng 6/2024: Công bố công khai các lỗ hổng bảo mật
- Tình trạng hiện tại: Đã có bản cập nhật firmware cho 7 trong số 8 lỗ hổng
- Sửa chữa trong tương lai: Thay đổi quy trình sản xuất chỉ áp dụng cho các thiết bị mới
Tác Động Bảo Mật Toàn Ngành
Phát hiện này đặt ra những câu hỏi rộng lớn hơn về các thực hành bảo mật trong hệ sinh thái Internet of Things , nơi nhiều thiết bị được vận chuyển với thông tin xác thực mặc định yếu mà người dùng hiếm khi sửa đổi. Thực tế rằng một lỗ hổng nghiêm trọng không thể được vá lỗi làm nổi bật tầm quan trọng của các nguyên tắc bảo mật theo thiết kế trong quy trình sản xuất. Các chuyên gia bảo mật nhấn mạnh rằng sự cố này nên được coi như một hồi chuông cảnh báo cho cả nhà sản xuất và người tiêu dùng về tầm quan trọng của việc thay đổi mật khẩu mặc định trên tất cả các thiết bị được kết nối, không chỉ máy tính và bộ định tuyến.
Dòng thời gian của việc tiết lộ, với Rapid7 lần đầu xác định các vấn đề vào tháng 5 năm 2024 và công bố chi tiết công khai vào tháng 6, tuân theo các thực hành tiết lộ có trách nhiệm cho phép các nhà sản xuất có thời gian để phát triển các bản sửa lỗi một phần trước khi thông báo công khai. Tuy nhiên, sự tồn tại của lỗ hổng không thể vá lỗi có nghĩa là giáo dục người dùng và các biện pháp bảo mật chủ động vẫn là phòng thủ chính chống lại các cuộc tấn công tiềm ẩn.