サイト内の現在位置を表示しています。

お知らせ

弊社プリンタ・プリンタ複合機のウェブブラウザ設定機能における脆弱性について

2024年3月6日

お客様各位

平素より、弊社商品をご愛用いただき、誠にありがとうございます。

弊社プリンタ・プリンタ複合機の一部機種に搭載しているウェブブラウザ設定機能において脆弱性が発見されました。該当する商品と対策版ファームウェアを以下に記載いたします。
大変ご迷惑をおかけしますが、お客様がお使いの機種が対象機種に該当するかをご確認いただき、該当する場合には、下記の通りご対応をお願いいたします。
弊社では、本お知らせの掲載時点において、本脆弱性を利用した攻撃は確認しておりません。

対象機種と対策版ファームウェア

本ページ末尾に対象機種と該当するファームウェアバージョン、対策版ファームウェアのバージョン、対応方法を掲載しました。ご確認をお願いいたします。

脆弱性の内容

弊社のプリンタ・プリンタ複合機には、ウェブブラウザ経由でHTTPを用いて本製品の管理を行うウェブブラウザ設定機能が搭載されている機種があります。その機種の中に下記の脆弱性を含むものがあることが判明いたしました。

  1. セッション管理不備

    通信の盗聴やユーザのブラウザに攻撃を受けてクッキーの値を詐取された場合に、悪意のある攻撃者がこのクッキーの値を利用して、機器設定画面に不正にアクセスできる可能性があります。

  2. クロスサイト・リクエスト・フォージェリ―(CSRF)

    複合機の機械管理者が、悪意のある攻撃者が設置したウェブページにアクセスし、意図せずに当該の複合機に不正なリクエストを送信してしまうことで、当該の複合機のウェブブラウザ設定機能の設定値が変更されてしまう可能性があります。

対応

本脆弱性の対策版ファームウェアを準備いたしました。
該当する機種のファームウェアをダウンロードし、当該商品に導入してください。

なお、製品によって対応手順に違いがあります。本ページ末尾にある『対象機種と対策版ファームウェアバージョン』表をご参照いただき、当該機種の「対応方法」の列に記載している内容(AまたはB)により、以下のいずれかのご対応をお願いします。

対応方法Aの操作手順
  1. ファームウェア更新ツールを使用して商品のファームウェアを更新する
  2. 商品が再起動する
対応方法Bの操作手順
  1. ファームウェア更新ツールを使用して商品のファームウェアを更新する
  2. 商品が再起動する
  3. 商品が待機状態になっているのを確認し、操作パネルのメニューに入る
  4. メニュー > 6. Network > 4. Web Based Management > OFF の順で操作し、ウェブブラウザ設定機能をOFFにする
  • なお、各メニューにつく番号は機種によって異なる場合があります

ウェブブラウザ設定機能を再びONにする場合は、上記の手順の最後でONにしてください

回避策

対策版ファームウェアを適用するまでの間、以下の回避策の実施をお願い致します。回避策を実施いただくことで、本脆弱性による攻撃のリスクを低減することができます。

  • ファイアウォール等での保護されたネットワークの中で機器をご利用ください
  • インターネットからのアクセスを許可する場合は、必要なIPアドレスのみにアクセスを許可する、またはVPNを用いて接続することをご検討ください

関連情報

CVE-2024-21824:認証不備 (CWE-287)
CVE-2024-22475:クロスサイト・リクエスト・フォージェリ (CWE-352)

お問い合わせ先

NECプリンタインフォメーションセンター
お問い合わせフリーダイヤル 0120-614-552
受付時間 9:00~17:00 月曜日~金曜日
※土・日・祝日および当社所定の休日を除く

対象機種と対策版ファームウェアのバージョン

本件脆弱性に該当する機種名、対策版のファームウェアバージョン、対応方法を以下に示します。
対象機種の対策版バージョン列にあるリンクから、最新の対策版ファームウェアをダウンロードしてください。
本件脆弱性に該当するのは、表にある機種のみです。

対象商品 型番 対策版ファームウェアの対応状況 対応方法

MultiWriter 5350

PR-L5350
Ver. 1.22/1.05
A

MultiWriter 5150

PR-L5150
Ver. 1.13/1.07
B
MultiWriter 5140 PR-L5140
Ver. 1.13/1.07
B
MultiWriter 200F PR-L200F
Ver. K/1.07
B