Canon Küçük Ofis Yazıcılarının Kritik Hataları Aylar Sonra Yamalandı
Geçtiğimiz yaz Kanada’nın Toronto kentinde düzenlenen Pwn2Own yarışmasında Smashup, küçük ofis ve ev ağı (SOHO) cihazlarının güvenliğini test etmek için tasarlanan bir etkinlik düzenlendi. Etkinlikte araştırmacılar TP-Link, Netgear, ASUS, D-Link ve Linksys gibi birçok markaların yönlendiricilerine ve ağ depolama cihazlarına yönelik cihazlara uzaktan erişim sağlayan, verileri çalan veya cihazları ele geçiren saldırılara olanak tanıyan onlarca güvenlik açığı buldu.
Bulunan açıklar arasında yazıcıların büyük markası Canon da bulunuyordu. Etkinlikte kritik hata bulunmasının üzerinden aylar geçtikten sonra şirket 5 Şubat’ta küçük ofis çok işlevselli yazcılarını ve lazer yazıcılarını etkileyen ve CVSS ölçeğinde 10 üzerinden 9,8 “kritik” notunu verdikleri 7 kritik arabellek taşması hatasını düzelttiklerini belirtti.
Bir güvenlik danışma belgesinde yapılan açıklamaya göre bu hataların kimliği doğrulanmamış saldırganların doğrudan İnternet’e bağlı olan yazıcılara karşı DoS gerçekleştirilmesine veya rastgele kod yürütülmesine olanak tanıyabildiği, ek olarak kurbanın ağlarının derinliklerine inmek için kullanışlı bir pivot noktasının da sunulduğu söyleniyor.
Bu hatalar, saldırganların uzaktan kod çalıştırmasına, cihazları ele geçirmesine veya bilgileri çalmasına izin verebilirdi.
Canon, en son aygıt yazılımına güncelleme gibi bariz bir adımın ötesinde, müşterilerine ürünler için özel bir IP adresi ayarlamalarını ve ağ erişimini kısıtlayabilecek bir güvenlik duvarı veya kablolu/Wi-Fi yönlendiricisi olan bir ağ ortamı oluşturmalarını tavsiye ediyor.