image

Kyocera-printers kunnen gebruikersnaam en wachtwoorden lekken

woensdag 30 maart 2022, 14:57 door Redactie, 2 reacties

Een kwetsbaarheid in printers van Kyocera maakt het mogelijk voor aanvallers om gebruikersnamen en wachtwoorden te bemachtigen en een beveiligingsupdate is niet beschikbaar. De enige vereiste voor het uitvoeren van een aanval is toegang tot een service gebruikt voor printerbeheer. Een aanvaller hoeft niet over inloggegevens te beschikken.

Veel Kyocera-printers zijn zowel lokaal als op afstand via Net Viewer te beheren. Dit is een beheertool die wordt gebruikt om alle afdrukapparatuur lokaal en op afstand te controleren, onderhouden en bij te werken. Via Net Viewer kunnen beheerders firmware op alle aangesloten printers installeren. Net Viewer maakt gebruik van een API die normaliter alleen met authenticatie werkt.

Onderzoekers van securitybedrijf Rapid7 ontdekten dat het mogelijk is om zonder authenticatie een request te versturen waarmee adresboeken zijn op te vragen. Deze adresboeken bevatten e-mailadressen, gebruikersnamen en wachtwoorden. Een aanvaller zou zo opgeslagen wachtwoorden voor FTP- en SMB-servers kunnen achterhalen. Afhankelijk van de instellingen kan een aanvaller ook alle eerder gemaakte en toekomstige prints en scans stelen.

Rapid7 waarschuwde Kyocera op 16 november, maar de printerfabrikant heeft nog altijd geen firmware-updates beschikbaar gemaakt. De impact van het beveiligingslek, aangeduid als CVE-2022-1026, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Organisaties wordt dan ook aangeraden om de SOAP-interface op tcp-poort 9091 van kwetsbare printers uit te schakelen. Verder stellen de onderzoekers dat printers nooit direct vanaf het internet toegankelijk zouden moeten zijn.

Reacties (2)
30-03-2022, 21:58 door Anoniem
Sowieso belachelijk dat je zelf niet aan firmware updates kunt komen voor Kyocera printers & MFP's. Dat kan alleen via een reseller. De printers hebben ook geen standalone auto-update functie hiervoor ingebouwd, kortom er slingeren veel Kyo's met (hele) oude firmware versies rond.

Verder wel prima printers & MFP's voor MKB in het algemeen.
30-03-2022, 23:17 door Anoniem
Kyocera wil eerst een serienummer en alle informatie voordat ze een verzoek om een update behandelen. Belachelijk.
Dat soort klantenservice, daar ben ik niet van gedient. Zo'n update moet gewoon vrij beschikbaar zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.