В офисных многофункциональных устройствах и лазерных принтерах Canon были обнаружены уязвимости, позволяющие удалённо выполнить произвольный код или вызвать состояние отказа в обслуживании (DoS).

Проблемы CVE-2024-12647, CVE-2024-12648 и CVE-2024-12649 связаны с возможностью переполнения буфера при обработке некоторых шрифтов и метаданных. Степень угрозы во всех случаях оценена в 9,8 балла CVSS — как критическая. Успешная атака может повлечь потерю контроля над устройством.

Затронуты несколько моделей устройств семейства imageCLASS: MF656CDW, MF654CDW, MF653CDW, MF652CW, LBP632CDW (прошивка v05.04 или ниже); LBP633CDW (прошивка v05.04 или ниже).

«Любое устройство корпоративной сети, имеющее доступ к интернету, представляет собой потенциальную угрозу для информационной безопасности. Особенно это касается офисной техники, такой как принтеры и другие периферийные устройства, поскольку уязвимости в их программном обеспечении довольно распространённое явление. Для минимизации рисков, связанных с возможными атаками, оптимальным решением является назначение устройствам частных IP-адресов, что значительно ограничивает их доступ к внешним ресурсам и усиливает защиту корпоративной сети, а также использование межсетевого экранирования. Для эффективного управления сетью и конфигурациями активного сетевого оборудования и межсетевых экранов можно использовать программный комплекс Efros Defence Operations и таким образом упредить любое несанкционированное изменение в сети или конфигурации оборудования», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.