研究人员说,有关漏洞的重要信息是“不被抑制”的
针对安全研究人员的停火通知,发现影响施乐打印机的漏洞已被挤压,并在其公开披露中删除了“少数代码摘录”。
空中客车安全实验室安全研究人员RaphaëlRigo原定于今年的浸润安全会议上举办演讲,讨论施乐多功能打印机中发现的关键漏洞。
但是,如先前报道,浸润于2月发布的通知,距离谈话还不到一个小时,告知与会者由于法律问题而取消了会议。
通知写道:“我们必须停止并停止与Raphaël演讲内容有关的出版,演示和讨论。”
里戈告诉本周每日swbeplay2018官网ig“问题已经解决”,因此在线演讲,标题为'攻击施乐多功能打印机’,昨天(4月22日)可以上线。
浸润说4月15日,停止命令已“解除”。
披露障碍
里戈的研究始于2019年1月。但是,新冠肺炎最后一刻的法律威胁意味着该工作只能在本月公开。
在介绍期间,包括施乐的参与者,里戈解释说,为了进行谈话,请删除某些“元素”,包括“一些密码细节和一些代码摘录”。
研究人员补充说:“虽然,核心是相同的,我认为重要的不重要被抑制了。”
里戈的演讲现在可以观看Vimeo
然后,研究人员能够描述他对2017年至2020年之间发布的固件的Xerox Workcenter 7835和Altalink 8030(重型EAL2+认证打印机)的检查。
向供应商报告的问题包括硬编码的默认帐户凭据;在UI代码中隐藏的“服务”帐户无法更改密码;遥控指挥注射脆弱性(CVE-2019-10880);Ajax处理人员的特权升级;一个SQL注入打印机帐户管理页面中的瑕疵;以及由克隆文件功能引起的远程代码执行错误。
小印刷品
施乐解决了漏洞在2020年9月的安全发布中。这包括对特权级别的大修,使某些帐户仅在有本地访问权限并禁用后门帐户时工作。
里戈报告的其他漏洞也得到了解决。
Rigo还描述了Xerox Versalink中的命令注入和缓冲区溢出漏洞,以及可通过硬编码帐户访问的后门URL引起的安全弱点和相同的Clone File rce rce漏洞。
这些安全缺陷在披露后的一年后于2020年6月解决。但是,克隆文件RCE直到2021年3月5日才修复,因为初步尝试修补问题的尝试失败了。
里戈说:“多功能打印机是一个非常容易的目标,因为大型公司仍然喜欢使用纸张,并且经常被安全团队忽略,因为(通常](通常)在企业网络上负责这些外围设备。”
施乐拒绝发表评论。
在本月相关新闻中,一个新的GitHub存储库启动了记录研究人员与组织之间的战斗,这些组织是真诚研究的主题,包括反应,法律要求以及停止和辩护通知。