Un gruppo di ricercatori esperti di sicurezza, tutti a loro volta collaboratori di Zero Day Initiative (Trend Micro), hanno segnalato 7 vulnerabilità nelle stampanti Canon i-SENSYS. In Europa si tratta dei modelli che fanno parte delle seguenti serie di dispositivi di stampa: LBP673Cdw, MF752Cdw, MF754Cdw, C1333i, C1333iF e C1333P.
In tutti i casi si parla di problemi di sicurezza critici perché espongono i possessori delle stampanti con firmware non aggiornato al rischio di esecuzione di codice in modalità remota (RCE) oppure ad attacchi DoS (Denial of Service), tesi a rendere inutilizzabile il dispositivo.
Canon ha confermato le problematiche in questione fornendo un elenco completo degli identificativi CVE di ciascuna di esse. Per tutte si parla di un livello di criticità pari a 9,8 su una scala di 10. Ma c’è un rischio concreto per gli utenti che posseggono queste stampanti? Cosa può succedere se non si aggiorna tempestivamente il firmware?
Aggiornare il firmware delle stampanti Canon i-SENSYS è importante ma… the sky is NOT falling
C’è un’espressione inglese ampiamente utilizzata anche e soprattutto in ambito informatico per denunciare un problema di sicurezza particolarmente rilevante, che può avere un impatto su un’ampia platea di utenti: the sky is falling. Si tratta di una frase idiomatica che ispirata alla favola di Chicken Little, in cui un piccolo volatile afferma erroneamente che il cielo sta cadendo, scatenando il panico tra gli altri animali.
Nel caso delle stampanti Canon i-SENSYS non è assolutamente il caso di lanciare allarmismi. La stessa azienda giapponese sottolinea che può esserci un rischio concreto se e solo se alla stampante fosse associato un indirizzo IP pubblico, raggiungibile direttamente da host remoti collegati alla rete Internet (e quindi anche da potenziali criminali informatici).
Ma chi è che collega, oggi, una stampante con un IP pubblico sulla porta WAN? Chi è che non assegna a questi dispositivi un indirizzo IP locale a valle, almeno, di un router con funzionalità di firewall e NAT (Network Address Translation)? Anche se quest’ultima non può e non deve essere considerata come una vera e propria soluzione di sicurezza.
Eventuali rischi di esecuzione di codice dannoso, quindi, sono limitati all’ambito della rete locale. Certo, se in LAN fossero già presenti oggetti dannosi capaci di muoversi lateralmente, le falle presenti nelle stampanti i-SENSYS sarebbero forse l’ultimo dei problemi…
Cosa fare per proteggersi
Chi utilizza una stampante Canon i-SENSYS, dovrebbe provvedere quanto prima all’installazione degli aggiornamenti firmware più recenti, appena distribuiti da Canon.
Le versioni del firmware 03.07 e precedenti sono da considerare vulnerabili: è quindi opportuno installare quanto prima le patch correttive.
In un altro articolo ci siamo chiesti se sia davvero importante aggiornare il firmware della stampante: certamente lo è di meno, ad esempio, rispetto all’aggiornamento del firmware di un router, di un access point, di un firewall, di un device per l’Internet delle Cose e di un qualunque altro dispositivo collegato direttamente alla rete Internet.
La discriminante è proprio questa: se un prodotto è esposto sulla rete in modo diretto, bisognerebbe innanzi tutto evitare di esporre tutte le sue porte di comunicazione, limitandosi a quelle strettamente necessarie. Esattamente come si fa nella gestione e protezione di un server. Inoltre, la correzione delle vulnerabilità assume evidentemente un’importanza essenziale.
Se uno o più dispositivi sono “dietro” a un firewall o a un router, allora ci si può muovere con maggiore tranquillità, non dando comunque nulla per scontato. I worm Blaster e Sasser del 2003-2004 si diffusero su tanti sistemi perché poterono sfruttare il fatto che tanti utenti privati erano connessi direttamente alla rete con semplici modem. L’assenza di una patch Microsoft (non installata dagli utenti…) permise agli aggressori di diffondere quei malware molto rapidamente a livello mondiale e di avere “gioco” facile.
Quei tempi, per tanti versi, sono lontani ma le vulnerabilità wormable esistono ancora, facendo leva proprio sui dispositivi non protetti e/o non aggiornati dotati di IP pubblico. Proprio su quelli è essenziale concentrare l’attenzione. Ma non è il caso della stampanti i-SENSYS, almeno nella configurazione “tipica”.