Kapcsolat
Vegye fel velünk a kapcsolatot telefonon vagy e-mailen keresztül
A Canon és a biztonság
Ezen az oldalon a Canon termékek biztonságával kapcsolatos fontos információkat olvashat
Hírarchívum
Hírarchívum
„AMNESIA:33”: Beágyazott TCP/IP kötegelt biztonsági rések – Frissítés: 2020. december 10.
A vizsgálatot követően megállapítottuk, hogy egyetlen imageRUNNER, imageRUNNER ADVANCE vagy i-SENSYS terméket nem érint ez a biztonsági rés. Tovább folytatjuk a vizsgálatot, hogy ellenőrizzük a Canon termékválasztékot, és ennek megfelelően frissítjük majd ezt a cikket, ha újabb információk lesznek elérhetők.
uniFLOW MicroMIND biztonsági rés – 2020. december 8-án frissítve
A Federal Office for Information Security (BSI) tudomásunkra hozta, hogy a microMIND-on belüli hálózati alkalmazás illetéktelenek számára több ponton is hozzáférhető. A biztonsági réseket a „Forescout Technologies” kutatói, Jos Wetzels, Stanislav Dashevskyi, Amine Amri és Daniel dos Santos fedezték fel.
A microMIND az uIP nyílt forráskódú hálózati stacken alapul – https://en.wikipedia.org/wiki/UIP_(micro_IP) –, amelyet több ezer más vállalat is használ hardvereik és szoftvereik hálózati összekötésére. A kutatók kimutatták, hogy a biztonsági rést kihasználva szolgáltatásmegtagadással járó támadás érheti az eszközöket, melyek így offline módba kerülnek, vagy magán a microMIND szolgáltatáson végezhetnek távoli kód végrehajtást. A biztonsági rés kezelése érdekében az NT-ware az összes problémát orvosoló, új készülékszoftvert adott ki. A jelen biztonsági értesítő írása idején nincs ismert microMIND biztonsági rés.
Biztonsági rés neve/hivatkozás: AMNESIA:33, https://www.forescout.com/amnesia33/
Ebben a készülékszoftverben kezelt CVE-azonosítók: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437
A microMIND szolgáltatásban implementált uIP stackhez nem kapcsolódó CVE-azonosítók: CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335
Érintett uniFLOW microMIND készülékszoftver: 2.0.9 vagy régebbi verzió, vagy 2020. október előtt leszállított verzió.
Kárenyhítés/tennivaló: Ha az Ön microMIND szolgáltatása érintett, lépjen kapcsolatba a Canon képviselőjével a készülékszoftver frissítése érdekében.
Canon lézer- és kisméretű multifunkciós irodai nyomtatókkal kapcsolatos biztonsági rés az IP-protokollkészletben – 2020. október 1-jén frissítve
Egy izraeli székhelyű kiberbiztonsági cég, a SCADAfence Ltd. felhívta a figyelmünket egy, az IP-protokoll használatához kötődő biztonsági résre a Canon lézernyomtatók és kisméretű multifunkciós irodai készülékek esetében. A részletekkel kapcsolatban itt tájékozódhat: CVE-2020-16849.
A készülék harmadik fél támadásának lehet kitéve, ha az egy olyan, nem biztonságos hálózathoz csatlakozik, amelyen keresztül a címjegyzék részei és/vagy a rendszergazda jelszava hozzáférhető. Megjegyzendő, hogy ha a távoli felhasználói felület kommunikációjához HTTPS-t használunk, az adatok titkosítottak.
Jelenleg nem rendelkezünk megerősített esettel a biztonsági rések károkozás céljából való kihasználását illetően. Azonban annak érdekében, hogy ügyfeleink továbbra is biztonságosan használhassák termékeinket, a következő modellekhez új szoftvert teszünk elérhetővé:
i-SENSYS MF Series
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW
i-SENSYS LBP Series
LBP113W
LBP151DW
LBP162DW
imageRUNNER sorozat
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF
A készülékszoftver frissítésének részleteiről a Felhasználói kézikönyvben olvashat.
Javasoljuk, hogy a termékekhez privát IP-címet használjon, illetve alkalmazzon olyan hálózati paramétervezérlőket, melyek korlátozzák a hálózati hozzáférést, például tűzfal vagy Wi-Fi router. További hasznos tanácsokat ezen az oldalon, a „Biztonság a hálózathoz csatlakoztatott termékek számára” című rész alatt talál.
„Ripple20”: Több biztonsági rést azonosítottak a TCP/IP protokollkészletben – frissítve 2020. szeptember 30-án
A „Ripple20” biztonsági réseinek vizsgálata során nem találtak hibát a Canon nyomtatótermékekben.
Nyolc karakteres, számokból álló jelszó által nyújtott biztonság – 2020. március 6-án hozzáadva
Bár a Canon vezeték nélküli funkció jelszava megfelel a jelenlegi WPA-szabványnak, tisztában vagyunk azzal, hogy a nyolc karakteres, számokból álló jelszavak már nem olyan biztonságosak, mint korábban voltak. Ezt szem előtt tartva azt javasoljuk, hogy olyan környezetben, ahol a vezeték nélküli biztonság problémát jelenthet (például nyilvános helyen), a Canon berendezéseket mindig a létesítmény Wi-Fi-jén keresztül csatlakoztassa. Komolyan vesszük a biztonságot – frissítjük a biztonsági Wi-Fi-beállításokat termékeinken a biztonságos használat fenntartása érdekében, és minden frissítést közzéteszünk ezeken az oldalakon. A Canon megköszöni REDTEAM.PL csapatának, hogy felhívta figyelmünket a jelszóbiztonsággal kapcsolatos változásokra, illetve ennek a piacra gyakorolt hatásaira.
ImageRUNNER ADVANCE syslog- és naplóesemények – 2020. február 20-án hozzáadva
Az imageRUNNER ADVANCE szoftverplatform 3.8 és újabb verzióiban bevezetésre került a szinte valós idejű eseményértesítési funkciót nyújtó (az RFC 5424, RFC 5425 és RFC 5426 szabványoknak megfelelő) syslog-protokoll, amely átláthatóbbá teszi a használt eszköznaplózási megoldás eszközre és az eszköz biztonsági eseményeire vonatkozó információit. A fejlesztés arra az eszköznaplózási képességre épül, amely lehetővé teszi a csatlakozást egy meglévő, a biztonsági információkat és eseményeket kezelő (SIEM) vagy syslog-kiszolgálóhoz. Az alábbi „SIEM_spec” dokumentumban tekintheti meg a létrehozható üzenettípusok és naplóadatok részleteit.
VxWork operációs rendszer, biztonsági rés – 2019. október 3-án frissítve
Tizenegy biztonsági rés, „URGENT/11” néven (a CVE-2019-12255 azonosítótól a CVE-2019-12265 azonosítóig) került azonosításra a VxWork operációs rendszeren belül. Kiderült, hogy a VxWorks operációs rendszerben használt IPnet TCP/IP protokollkészlet más valós idejű operációs rendszerekben is használatban van, ami megnyitja a számos termék esetében létező biztonsági rések lehetőségét (CVE-2019-12255, CVE-2019-12262 és CVE-2019-12264).
Számos régebbi európai modellt érinthet ez a probléma, amelyeknél az érintett IPnet TCP/IP protokollkészlet használatát állapították meg:
- i-SENSYS MF4270
- i-SENSYS MF4370dn
- i-SENSYS MF4380dn
- imageRUNNER 2318
- imageRUNNER 2318L
- imageRUNNER 2320
- imageRUNNER 2420
- imageRUNNER 2422
Javasoljuk, hogy tekintse át a hálózati biztonsági vezérlőket, és/vagy cserélje be nyomtatóját a Canon legújabb, megfelelő modelljére. További információért tekintse meg a Canon multifunkciós készülékek biztonsági útmutatóját (a hivatkozás a lap alján található), vagy a Canon nemzetközi weboldalán található tudnivalókat.
A Canon digitális fényképezőgépekkel és a Picture Transfer Protocol (PTP) kommunikációs funkcióval kapcsolatos javasolt biztonsági intézkedések – 2019. augusztus 6-án hozzáadva
Köszönjük, hogy Canon terméket használ.
Egy nemzetközi biztonságkutató csapat hívta fel a figyelmünket egy, a Canon digitális fényképezőgépeivel használt Picture Transfer Protocol (PTP) protokollon keresztüli kapcsolódást érintő biztonsági résre, valamint egy, a készülékszoftver-frissítéseket érintő biztonsági résre.
(CVE-azonosító: CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001)
A biztonsági rések következtében a fényképezőgép harmadik fél támadásának lehet kitéve, ha a készülék olyan számítógéphez vagy mobileszközhöz csatlakozik, amellyel nem biztonságos hálózaton keresztül élnek vissza.
Jelenleg nem rendelkezünk megerősített esettel a biztonsági rések károkozás céljából való kihasználását illetően. Azonban annak érdekében, hogy vásárlóink biztonságosan használhassák termékeinket, felhívnánk a figyelmet a következő lehetséges megoldásokra.
- Győződjön meg arról, hogy a fényképezőgéphez csatlakoztatott eszközök (például számítógép, mobileszköz és útválasztó) megfelelő biztonsági beállításokkal rendelkeznek.
- Ne csatlakoztassa a fényképezőgépet olyan számítógéphez vagy mobileszközhöz, melyet nem biztonságos hálózaton, például ingyenes Wi-Fi-környezetben használnak.
- Ne csatlakoztassa a fényképezőgépet olyan számítógéphez vagy mobileszközhöz, amely potenciálisan ki lehet téve vírusfertőzéseknek.
- Tiltsa le a fényképezőgép hálózati funkcióit, ha azokat nem használja.
- A fényképezőgép készülékszoftverének frissítéséhez töltse le a hivatalos készülékszoftvert a Canon oldaláról.
Egyre gyakoribb a számítógépek és mobileszközök nem biztonságos (ingyenes Wi-Fi) hálózati környezetben történő használata, a vásárlók pedig nincsenek tisztában a hálózati biztonsággal. Szintén egyre elterjedtebb a Wi-Fi csatlakozáson keresztüli, fényképezőgépről mobileszközre történő képátvitel. Ezért készülékszoftver-frissítéseket eszközölünk a következő, Wi-Fi funkcióval rendelkező típusokon.
| A biztonsági rések a következő EOS-sorozatú digitális SLR- és tükör nélküli fényképezőgépeket érintik: | ||||
|---|---|---|---|---|
| EOS-1DC*1 *2 | EOS 6D Mark II | EOS 760D | EOS M6 Mark II | PowerShot SX740 HS |
| EOS-1D X*1 *2 | EOS 7D Mark II*1 | EOS 800D | EOS M10 | |
| EOS-1D X MK II*1 *2 | EOS 70D | EOS 1300D | EOS M50 | |
| EOS 5D Mark III*1 | EOS 77D | EOS 2000D | EOS M100 | |
| EOS 5D Mark IV | EOS 80D | EOS 4000D | EOS R | |
| EOS 5DS*1 | EOS 200D | EOS M3 | EOS RP | |
| EOS 5DS R*1 | EOS 250D | EOS M5 | PowerShot G5X Mark II | |
| EOS 6D | EOS 750D | EOS M6 | PowerShot SX70 HS | |
*1 Wi-Fi-adapter vagy vezeték nélküli adó használata esetén létrejöhet vezeték nélküli kapcsolat.
*2 Ezek a biztonsági rések az Ethernet-kapcsolatokra is hatással lehetnek.
Ugyanakkor minden termék készülékszoftverének frissítéséről tájékoztatást adunk azoktól a termékektől kezdve, amelyek esetében az előkészületeket már elvégeztük.
uniFLOW hitelesítési probléma – 2019. március 19-én frissítve
Azonosítottunk egy, a uniFLOW használatának bizonyos körülményei esetén fennálló biztonsági problémát, az NT-Ware pedig kiadott egy gyorsjavítást ennek orvoslására. Azt javasoljuk, hogy a lehető leghamarabb futtassa le ezt a javítást a rendszeren.
Hitelesítési adatként történő használat, illetve a kártya megjegyzésére szolgáló mechanizmus használata esetén, előfordulhat, hogy adataihoz jogosulatlan személyek férhetnek hozzá.
Hitelesítési adatként történő használat, illetve a kártya megjegyzésére szolgáló mechanizmus használata esetén, előfordulhat, hogy adataihoz jogosulatlan személyek férhetnek hozzá.
Ez csak a szoftver bizonyos verzióit érinti, az alábbi hitelesítési módokkal való használat esetén:
• uniFLOW V5.1 SRx
• uniFLOW V5.2 SRx
• uniFLOW V5.3 SRx
• uniFLOW V5.4 SR10 (frissített gyorsjavítás) és újabb
• uniFLOW 2018 LTS SRx (frissített gyorsjavítás)
• uniFLOW 2018 v-Releases (frissített gyorsjavítás)
Amennyiben a uniFLOW V5.1 SRx, uniFLOW V5.2 SRx vagy a uniFLOW V5.3 SRx verziót használja, vegye fel a kapcsolatot a jogosult viszonteladóval vagy egy Canon ügyfélszolgálati képviselővel.
Kövesse az utasításokat a gyorsjavítás telepítése érdekében
Elkötelezettek vagyunk amellett, hogy biztonságos megoldásokat biztosítsunk ügyfeleink számára, és elnézést kérünk az esetlegesen okozott kellemetlenségekért. A jelen értesítéssel kapcsolatos további információkért kérjük, vegye fel a kapcsolatot a helyi Canon képviselettel, egy jogosult viszonteladóval vagy egy Canon ügyfélszolgálati képviselővel. Amennyiben gyanús tevékenységet észlel, kérjük, azonnal jelezze ügyfélkapcsolati menedzserének és az IT-részlegnek.
Biztonsági rések faxolásnál – 2018. augusztus 31-én hozzáadva
Nemrégiben bizonyos termékek faxfunkcióinak kommunikációs protokolljai esetében a kutatók biztonsági résekről számoltak be. (CVE-ID: CVE-2018-5924, CVE 2018-5925). A biztonsági rések faxfunkcióval rendelkező Canon termékekre való hatásával kapcsolatos további információkat alább tekintheti meg:
Felülvizsgálataink alapján, mivel ezek a biztonsági rések által kihasznált színes G3 Faxprotokollt nem alkalmazzák, a következő termékek nem érintettek: imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP és imageCLASS/i-SENSYS sorozatú, faxfunkcióval rendelkező modellek.
A faxfunkcióval rendelkező MAXIFY és PIXMA sorozatú termékek alkalmazzák a színes G3 Faxprotokollt. Viszont nem azonosítottunk az ezeken az eszközökön tárolt információk biztonságát veszélyeztető kockázatot, vagy olyan kockázatot, hogy valamely rosszindulatú kódot a faxhálózaton keresztül hajtanának végre.
Továbbra is figyelemmel követjük a helyzetet, és megtesszük az eszközök védelmének biztosításához szükséges lépéseket.
Spectre és Meltdown CPU biztonsági rések – 2018. március 8-án hozzáadva
Nemrégiben nyilvánosságra kerültek azokat az Intel, AMD és ARM CPU-kat érintő biztonsági rések, amelyek teljesítményük javítása érdekében a spekulatív végrehajtás megoldást alkalmazzák. A biztonsági rések lehetővé teszik a támadók számára az engedély nélküli hozzáférést a privát gyorsítótár-memória területeihez.
Kétfajta biztonsági rést azonosítottak és neveztek meg, amelyek különböző módokon tudják kiaknázni az érintett CPU-kban található spekulatív végrehajtás funkciókat. Ezek a CVE-2017-5715, CVE-2017-5753: „Spectre” és a CVE-2017-5754: „Meltdown”.
Az alábbi Canon külső vezérlők lehet, hogy érintettek a biztonsági rés által. Noha jelenleg nem tudunk arról, hogy ezeket a biztonsági réseket ki lehetne aknázni, dolgozunk a hibát kiküszöbölő javításokon, hogy vásárlóink továbbra is aggodalom nélkül használhassák termékeinket.
ColorPASS:
GX300 2.0 verzió, GX300 2.1 verzió, GX400 1.0 verzió, GX500 1.1 verzió
imagePASS:
U1 1.1 verzió, U1 1.1.1 verzió, U2 1.0 verzió
Y1 1.0 verzió, Y2 1.0 verzió
imagePRESS-CR kiszolgáló:
A7000 2.1 verzió, A7000 3.0 verzió, A7300 1.0 verzió, A7500 2.1 verzió, A8000 1.1 verzió
imagePRESS kiszolgáló:
A1200 1.0 verzió, A1200 1.1 verzió, A1300 1.0 verzió, A2200 1.0 verzió, A2200 1.1 verzió, A2300 1.0 verzió, A3200 1.0 verzió, A3200 1.1 verzió, A3300 1.0 verzió
B4000 1.0 verzió, B4100 1.0 verzió, B5000 1.0 verzió, B5100 1.0 verzió
F200 1.21 verzió, H300 1.0 verzió
J100 1.21 verzió, J200 1.21 verzió
K100 1.0 verzió, K200 1.0 verzió
Q2 2.0 verzió, Z1 1.0 verzió
Az alábbi Canon szolgáltatások lehet, hogy érintettek a biztonsági rés által. Noha jelenleg nem tudunk arról, hogy ezeket a biztonsági réseket ki lehetne aknázni, 2018. február végére elkészültünk a hibát kiküszöbölő javításokkal.
MDS Cloud
Nem ismerünk olyan módot, amely lehetővé tenné a Canon multifunkciós lézernyomtatók és a Canon lézernyomtatók, illetve a hozzájuk kapcsolódó szoftverek (a fentebb említett termékek kivételével) esetében a biztonsági rések kihasználását. A termékek továbbra is megbízhatóan működnek.
A Canon folyamatosan azon dolgozik, hogy a legmagasabb szintű biztonságot biztosítsa minden terméke és megoldása esetében. Komolyan vesszük az információbiztonságot, és ügyfeleink információinak védelme kiemelkedően fontos számunkra.
Biztonsági rések a WPA2 Wi-Fi titkosítási protokollban – 2018. január 16-án hozzáadva
Nemrég egy kutató nyilvánosságra hozott egy a normál vezeték nélküli LAN (Wi-Fi) WPA2 titkosítási protokollban található, KRACK nevű biztonsági rést. Ez a biztonsági rés lehetővé teszi a támadónak, hogy szándékosan lehallgassa a vezeték nélküli átvitelt a kliens (Wi-Fi-funkcióval rendelkező terminál) és a hozzáférési pont (az útválasztó stb.) között, hogy potenciálisan rosszindulatú tevékenységet hajtson végre. Pontosan ezért ezt a biztonsági rést nem használhatja ki senki a Wi-Fi-jel hatókörén kívül, illetve senki, aki egy távoli helyszínen használja az internetet közvetítőként.
Még ellenőriznünk kell, hogy ezen biztonsági rés következtében felmerült-e bármilyen probléma a Canon termékek használóinak körében, azonban annak érdekében, hogy az ügyfeleink nyugodtan tovább használhassák a termékeinket, a következő megelőző intézkedéseket javasoljuk:
• A kompatibilis eszközöket közvetlenül csatlakoztassa a hálózathoz egy USB-kábel vagy egy Ethernet-kábel segítségével
• Titkosítsa az olyan eszközökről történő adatátvitelt, amelyek engedélyezik a titkosítási beállításokat (TLS/IPSec)
• Használjon fizikai hordozókat (pl. SD-kártyákat) kompatibilis eszközökkel
• Kompatibilis eszközökkel való kapcsolódás esetén használjon olyan beállításokat, mint a közvetlen vezeték nélküli mód vagy a közvetlen kapcsolódási mód
Mivel a működési eljárások és funkciók eszközökként eltérnek, további információkért olvassa el az eszközhöz tartozó kézikönyvet. Javasoljuk, hogy tegye meg a megfelelő intézkedéseket az olyan eszközök, mint a számítógép és az okostelefon esetében is. Kérjük, a megfelelő intézkedésekkel kapcsolatos tájékoztatásért lépjen kapcsolatba az adott eszköz gyártójával.
