弊社複合機・プリンターの「ウェブブラウザー設定機能」における脆弱性について
2024年3月6日
お客様各位
平素より、弊社商品をご愛用いただき、誠にありがとうございます。
弊社複合機・プリンターの一部機種に搭載しているウェブブラウザー設定機能において脆弱性が発見されました。該当する機種と対策版ファームウェアを以下に記載致します。
大変ご迷惑をおかけ致しますが、お客様がお使いの機種が対象機種に該当するかをご確認いただき、該当する場合には、下記の通りご対応をお願いいたします。
弊社では、本お知らせの掲載時点において、本脆弱性を突いた攻撃は確認しておりません。
脆弱性の内容
弊社の複合機・プリンターには、ウェブブラウザー上で本製品の管理を行うウェブブラウザー設定機能が搭載されている機種があります。その機種の中に下記の脆弱性を含むものがあることが判明いたしました。
- セッションの管理不備
悪意のある攻撃者が、通信の盗聴やユーザーのブラウザーに攻撃を行い、クッキーの値を窃取した場合、このクッキーの値を利用して、機器設定画面に不正にアクセスできる可能性があります。 - クロスサイト・リクエスト・フォージェリ―(CSRF)
複合機・プリンターの使用者または機械管理者が、ウェブブラウザー上で複合機にアクセスしている状態で、悪意のある攻撃者が攻撃用に用意したウェブページにアクセスすると、意図せずに当該の複合機・プリンターに不正なリクエストが送信されてしまうことで、複合機・プリンターの設定値が変更されてしまう可能性があります。
対象機種と対策版ファームウェアのバージョン
本脆弱性に該当する機種名、対策版のファームウェアバージョン、対応方法を以下に示します。対象機種の対策版バージョン列にあるリンクから、最新の対策版ファームウェアをダウンロードしてください。 本件脆弱性に該当するのは、表にある機種のみです。
| 機種名 | 対策版バージョン (主/副バージョン) | 備考 |
|---|---|---|
| DocuPrint P360 dw | CSRF脆弱性のみ該当 | |
| DocuPrint P260 dw | Ver.1.22 / Ver.1.07 | |
| DocuPrint M260 z | Ver.K / Ver.1.07 |
対応
上記でダウンロードしたファームウェアにて、当該機種のファームウェアの更新をお願いいたします。 なお、機種によって対応手順に違いがありますので、以下をご参照ください。
DocuPrint P360 dwの操作手順
ファームウェア更新を行うことにより、脆弱性への対処が完了します。
- ファームウェア更新ツールを使用してプリンターのファームウェアを更新する
- プリンターが再起動する
DocuPrint P260 dwおよびDocuPrint M260 zの操作手順
ファームウェア更新を行い、ウェブブラウザー設定機能をOFFにすることで、脆弱性への対処が完了します。
なお、ウェブブラウザー設定機能を有効にしたまま、完全に回避する方法はございません。
- ファームウェア更新ツールを使用して複合機・プリンターのファームウェアを更新する
- 複合機・プリンターが再起動する
- 複合機・プリンターが待機状態になっているのを確認し、本体の操作パネルのメニューに入る
- メニュー > 6. Network > 4. Web Based Management > OFF の順で操作し、ウェブブラウザー設定機能をOFFにする※
- ※ なお、各メニューにつく番号は機種によって異なる場合があります
関連情報
CVE-2024-21824:認証不備 (CWE-287)
CVE-2024-22475:クロスサイト・リクエスト・フォージェリ (CWE-352)
回避策
対策版ファームウェアに更新するまでの間、以下の回避策の実施をお願い致します。回避策を実施いただくことで、本脆弱性による攻撃のリスクを低減することができます。
- ファイアウォール等での保護されたネットワークの中で機器をご利用ください
- インターネットからのアクセスを許可する場合は、必要な IP アドレスのみにアクセスを許可する、またはVPN を用いて接続することをご検討ください
お問い合わせ先
本件に関するお問合せ
富士フイルムビジネスイノベーション お客様相談センター
Webでのお問い合わせ:https://www.fujifilm.com/fb/cgi-bin/std/support/cic?PCODE=cic
上記URLより、「商品に関するご質問」を選択し、お問い合わせください。
フリーダイヤル:0120-274-100
受付時間:土日祝日を除く、9:00-12:00、13:00-17:00