JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月6日、「JVN#34328023: 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性」において、富士フイルムビジネスイノベーションの複合機およびプリンタの「CentreWare Internet Services」または「インターネットサービス」にクロスサイトリクエストフォージェリー(CSRF: Cross-Site Request Forgery)の脆弱性が存在すると伝えた。
この脆弱性を悪用されると、製品にログインした状態のユーザーが攻撃者の用意したWebページにアクセスすることで製品の設定値を変更される可能性がある。
-
JVN#34328023: 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の影響を受ける製品
脆弱性が存在するプロダクトおよびバージョンは次のとおり。
- DocuPrint P450 dすべてのバージョン
- DocuPrint P450 JMすべてのバージョン
- DocuPrint P450 psすべてのバージョン
- DocuPrint C2450すべてのバージョン
- DocuPrint C2450 IIすべてのバージョン
- DocuPrint C3200Aすべてのバージョン
- DocuPrint C3350すべてのバージョン
- DocuPrint C3360すべてのバージョン
- DocuPrint C3450 dすべてのバージョン
- DocuPrint C3450 d IIすべてのバージョン
- DocuPrint 4050すべてのバージョン
- DocuPrint 4060すべてのバージョン
- DocuPrint 5060すべてのバージョン
- DocuCentre-IV C2270すべてのバージョン
- DocuCentre-IV C3370すべてのバージョン
- DocuCentre-IV C4470すべてのバージョン
- DocuCentre-IV C5570すべてのバージョン
- ApeosPort-IV C2270すべてのバージョン
- ApeosPort-IV C3370すべてのバージョン
- ApeosPort-IV C4470すべてのバージョン
- ApeosPort-IV C5570すべてのバージョン
- ApeosPort-IV C2270 Rすべてのバージョン
- ApeosPort-IV C3370 Rすべてのバージョン
- ApeosPort-IV C4470 Rすべてのバージョン
- ApeosPort-IV C5570 Rすべてのバージョン
- ApeosWide 6050/3030すべてのバージョン
- DocuWide 6057/3037すべてのバージョン
- DocuWide 6055すべてのバージョン
- DocuWide 3035すべてのバージョン
- DocuWide C842すべてのバージョン
- DocuWide 2055すべてのバージョン
- DocuWide 9098すべてのバージョン
- DocuWide 9095すべてのバージョン
対策
富士フイルムビジネスイノベーションはこの脆弱性に対処するための回避策を提示している。該当製品を運用している管理者は、同社が提示する手順に従い回避策を実施することが推奨されている。
回避策を実施できない場合は、該当製品をファイアウォールなどで保護されたネットワーク内で使用するか、またはアクセス制限などの軽減策を実施することが望まれている。
