Ota yhteyttä
Ota meihin yhteyttä puhelimitse tai sähköpostitse
Canonin tietoturva
Tällä sivulla on tärkeitä tietoja Canonin tietoturvasta
Uutisarkisto
Uutisarkisto
AMNESIA:33: sisäisten TCP-/IP-pinojen haavoittuvuudet – päivitetty 10.12.2020
Voimme tutkimusten perusteella varmistaa, että haavoittuvuus ei vaikuta imageRUNNER-, imageRUNNER ADVANCE- tai i-SENSYS-tuotteisiin. Jatkamme tutkimuksia muiden Canon-tuotteiden osalta ja päivitämme tätä artikkelia saatuamme lisätietoja.
uniFLOW microMIND -haavoittuvuudet – päivitetty 8.12.2020
BSI (Bundesamt für Sicherheit in der Informationstechnik) on ilmoittanut, että microMIND-verkkokäyttöönotossa on havaittu useita haavoittuvuuksia. Haavoittuvuuden havaitsi Forescout Technologiesin tutkijat Jos Wetzels, Stanislav Dashevskyi, Amine Amri ja Daniel dos Santos.
microMIND käyttää avoimen lähdekoodin uIP-pinoa https://en.wikipedia.org/wiki/UIP_(micro_IP), joka on käytössä tuhansissa eri yrityksissä. Haavoittuvuudet altistavat palvelunestohyökkäyksille, jossa laitteiden verkkoyhteys voidaan katkaista tai microMIND-palvelussa voidaan suorittaa etäkoodi. Näiden haavoittuvuuksien korjaamiseksi NT-ware on julkaissut uuden laiteohjelmiston, joka korjaa kaikki ilmoitetut ongelmat. Tämän tietoturvatiedotteen julkaisuhetkellä ei ole tiedossa microMIND-ohjelmistoon kohdistettuja hyökkäyksiä.
Haavoittuvuuden nimi/linkki: AMNESIA:33, https://www.forescout.com/amnesia33/
Uusi laiteohjelmisto korjaa seuraavat haavoittuvuudet: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437
Haavoittuvuudet, jotka eivät liity microMIND-käyttöönottoon uIP-pinossa CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335
uniFLOW microMIND -laiteohjelmisto, jota ongelma koskee: versio 2.0.9 ja sitä uudemmat versiot tai versiot, jotka on toimitettu ennen lokakuuta 2020.
Toimenpiteet: Jos käytössä on microMIND, jota ongelma koskee, ota yhteys Canonin edustajaan ja pyydä apua laiteohjelmiston päivittämisessä.
Canonin lasertulostimia ja pieniä toimiston monitoimilaitteita koskeva IP-pinon haavoittuvuus – päivitetty 1.10.2020
Kyberturvallisuusyhtiö SCADAfence Ltd., jonka pääkonttori on Israelissa, on ilmoittanut haavoittuvuudesta, joka liittyy Canonin lasertulostimissa ja pienissä toimiston monitoimilaitteissa käytettävään IP-pinon protokollaan. Lisätietoja on saatavilla tunnisteella CVE-2020-16849.
Kolmannen osapuolen hyökkäys laitteeseen on mahdollinen, kun laite on yhdistettynä verkkoon, jolloin osoitekirjan tietoja ja/tai järjestelmänvalvojan salasana voidaan kaapata suojaamattoman verkon kautta. On huomioitava, että kun etäkäyttöliittymän tiedonsiirrossa käytetään HTTPS-protokollaa, tiedot suojataan salauksella.
Tähän mennessä ei ole tiedossa varmistettuja tapauksia, joissa näitä haavoittuvuuksia olisi hyödynnetty. Jotta asiakkaamme kuitenkin voisivat käyttää tuotteitamme turvallisesti, seuraaviin tuotteisiin on saatavilla uusi laiteohjelmisto:
i-SENSYS MF -sarja
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW
i-SENSYS LBP -sarja
LBP113w
LBP151DW
LBP162DW
imageRUNNER-sarja
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF
Katso käyttöoppaasta ohjeet laiteohjelmiston päivittämiseen.
Suosittelemme käyttämään tuotteissa yksityistä IP-osoitetta sekä määrittämään turvalliset verkon parametrit esimerkiksi käyttämällä palomuuria tai Wi-Fi-reititintä, jotka rajoittavat pääsyä verkkoon. Lisätietoja on jäljempänä kohdassa Verkkoon yhdistettyjen tuotteiden turvallisuus.
"Ripple20": tunnistettu useita haavoittuvuuksia TCP/IP-pinossa – päivitetty 30.9.2020
Emme ole havainneet tutkimuksissamme Ripple20-haavoittuvuuden aiheuttamia ongelmia Canonin tulostimissa.
Suojaus kahdeksan merkin salasanalla – lisätty 6.3.2020
Canonin langattoman toiminnon salasana täyttää WPA-standardin vaatimukset, mutta kahdeksan merkin salasanasuojaus ei silti ole kaikissa tapauksissa riittävän tehokas. Siksi suosittelemme, että langattomassa verkossa ja erityisesti julkisissa paikoissa, Canonin laitteet on aina yhdistettävä Wi-Fi-verkon suojausinfrastruktuuriin. Suhtaudumme tietoturvaan vakavasti, joten päivitämme tuotteidemme Wi-Fi-suojausta jatkuvasti, jotta laitteet pysyvät suojattuina. Tietoturvapäivitykset julkaistaan näillä sivuilla. Canon haluaa kiittää REDTEAM.PL:a heidän ehdotuksestaan muuttaa salasanasuojausta.
ImageRUNNER ADVANCE – järjestelmäloki ja lokitapahtumat – lisätty 20.2.2020
ImageRUNNER ADVANCE -ohjelmistossa on versiosta 3.8 lähtien Syslog-protokolla (RFC 5424-, RFC 5425- ja RFC 5426-standardien mukainen). Toiminto tarjoaa käyttöön lähes reaaliaikaisen viestitoiminnon, joka parantaa laite- ja suojaustapahtumien näkyvyyttä. Toiminto perustuu laitteen tiedonkeruutoimintoon, jonka avulla voidaan muodostaa yhteys suojaustietotapahtumien hallintaan (SIEM) tai Syslog-palvelimeen. Oheisessa SIEM_spec-asiakirjassa on lisätietoja viestityypeistä ja lokitiedoista.
VxWork-käyttöjärjestelmän haavoittuvuus – päivitetty 3.10.2019
VxWorks-käyttöjärjestelmässä on havaittu 11 haavoittuvuutta, joille on annettu nimi "URGENT/11" (CVE-2019-12255–CVE-2019-12265). Olemme saaneet selville, että VxWorks-käyttöjärjestelmän IPnet TCP/IP -pino on käytössä myös muissa reaaliaikaisissa käyttöjärjestelmissä. Tämä tarkoittaa, että laajempi joukko tuotteita voi altistua näille haavoittuvuuksille (CVE-2019-12255, CVE-2019-12262 ja CVE-2019-12264).
Monet vanhat eurooppalaiset tuotemallit voivat olla haavoittuvaisia tälle ongelmalle, koska ne voivat käyttää virheellistä IPnet TCP/IP -pinoa:
- i-SENSYS MF4270
- i-SENSYS MF4370dn
- i-SENSYS MF4380dn
- imageRUNNER 2318
- imageRUNNER 2318L
- imageRUNNER 2320
- imageRUNNER 2420
- imageRUNNER 2422
Suosittelemme, että tarkistat verkon suojauksen ja/tai päivität uusimpaan vastaavaan Canon-laitteeseen. Lisätietoja on Canonin monitoimilaitteiden suojausoppaassa (linkki sivun alareunassa) ja Canonin verkkosivuilla.
Turvallisuustiedote Canonin digitaalikameroissa käytettävän Picture Transfer Protocolin (PTP) yhteystoimintoja ja ohjelmistopäivityksiä koskevasta haavoittuvuudesta – [lisätty 6.8.2019]
Kiitos, että käytät Canon-tuotteita.
Kansainvälinen tietoturva-asiantuntijatiimi on ilmoittanut haavoittuvuudesta, joka liittyy Canonin digitaalikameroissa käytettävän Picture Transfer Protocolin (PTP) kautta kulkeviin yhteyksiin. Se on myös löytänyt laiteohjelmistopäivityksiin liittyvän haavoittuvuuden.
(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001)
Näiden haavoittuvuuksien vuoksi kolmannen osapuolen hyökkäys kameraan on mahdollinen, jos kamera on yhdistetty tietokoneeseen tai mobiililaitteeseen, joka on kaapattu suojaamattoman verkon kautta.
Vahvistettuja tapauksia, joissa näitä haavoittuvuuksia olisi hyödynnetty, ei ole tiedossa. Jotta asiakkaamme kuitenkin voisivat käyttää tuotteitamme turvallisesti, haluamme tässä kertoa ratkaisuista ongelmaan.
- Varmista, että kameraan yhdistettyjen laitteiden, kuten tietokoneen, mobiililaitteen tai reitittimen, tietoturva-asetukset ovat asianmukaiset.
- Älä liitä kameraa tietokoneeseen tai mobiililaitteeseen, jota on käytetty suojaamattomassa verkossa, kuten ilmaisessa Wi-Fi-verkossa.
- Älä yhdistä kameraa tietokoneeseen tai mobiililaitteeseen, joka on mahdollisesti saanut viruksen.
- Poista kameran verkkotoiminnot käytöstä, kun niitä ei käytetä.
- Lataa virallinen laiteohjelmisto Canonin verkkosivustosta, kun päivität kameran laiteohjelmiston.
Tietokoneita ja mobiililaitteita käytetään yhä useammin suojaamattomissa (ilmainen Wi-Fi) verkoissa, joissa asiakkaat eivät tiedä verkon suojauksesta. Kuvien siirtäminen kamerasta mobiililaitteeseen Wi-Fi-yhteyden kautta on yhä suositumpaa, joten haluamme tuoda saataville laiteohjelmistopäivityksiä seuraaville Wi-Fi-yhteystoimintoja sisältäville malleille:
| Nämä haavoittuvuudet vaikuttavat seuraaviin EOS-sarjan digitaalisiin järjestelmäkameroihin ja peilittömiin kameroihin: | ||||
|---|---|---|---|---|
| EOS-1DC*1 *2 | EOS 6D Mark II | EOS 760D | EOS M6 Mark II | PowerShot SX740 HS |
| EOS-1DX*1 *2 | EOS 7D Mark II*1 | EOS 800D | EOS M10 | |
| EOS-1DX MK II*1 *2 | EOS 70D | EOS 1300D | EOS M50 | |
| EOS 5D Mark III*1 | EOS 77D | EOS 2000D | EOS M100 | |
| EOS 5D Mark IV | EOS 80D | EOS 4000D | EOS R | |
| EOS 5DS*1 | EOS 200D | EOS M3 | EOS RP | |
| EOS 5DS R*1 | EOS 250D | EOS M5 | PowerShot G5X Mark II | |
| EOS 6D | EOS 750D | EOS M6 | PowerShot SX70 HS | |
*1 Jos käytössä on Wi-Fi-sovitin tai langaton lähetin, Wi-Fi-yhteys voidaan muodostaa.
*2 Haavoittuvuudet koskevat myös Ethernet-liitäntöjä.
Laiteohjelmiston päivitystiedot annetaan jokaiselle tuotteelle vuorotellen, alkaen tuotteista, joiden valmistelut on tehty.
uniFLOW-todennusongelma – päivitetty 19.3.2019
Olemme havainneet tietoturvaongelman, joka ilmenee joissain uniFLOW-käyttötilanteissa. NT-Ware on julkaissut ongelmaan Hotfix-korjauksen. Tämä korjaus on suositeltavaa asentaa järjestelmään mahdollisimman pian.
Ongelma mahdollistaa valtuuttamattoman pääsyn järjestelmään, jos todennukseen käytetään käyttäjänimeä ja salasanaa tai kortinlukijaa.
Ongelma mahdollistaa valtuuttamattoman pääsyn järjestelmään, jos todennukseen käytetään käyttäjänimeä ja salasanaa tai kortinlukijaa.
Ongelma koskee vain tiettyjä ohjelmistoversioita, jos niissä käytetty todennustapa on jokin seuraavista:
• uniFLOW 5.1 SRx
• uniFLOW 5.2 SRx
• uniFLOW 5.3 SRx
• uniFLOW 5.4 SR10 (uudistettu hotfix-korjaus) tai uudempi
• uniFLOW 2018 LTS SRx (uudistettu hotfix-korjaus)
• uniFLOW 2018 v -versioiden (uudistettu hotfix-korjaus)
Jos käytössäsi on uniFLOW 5.1 SRx, uniFLOW 5.2 SRx tai uniFLOW 5.3 SRx, ota yhteys valtuutettuun jälleenmyyjään tai Canonin tukipalveluun.
Hotfix-korjauksen asennusohjeet ovat täällä.
Olemme sitoutuneet tuottamaan asiakkaillemme tietoturvallisia ratkaisuja. Pahoittelemme tilanteesta mahdollisesti aiheutunutta haittaa. Saat tarvittaessa lisätietoja tästä tiedotteesta paikallisesta Canon-toimistosta, valtuutetulta jälleenmyyjältä tai Canonin tukipalvelusta. Ilmoita mahdollisista epäilyttävistä tapahtumista viipymättä asiakaspäällikölle ja IT-osastolle.
Faksien haavoittuvuus – lisätty 31.8.2018
Viimeaikoina tutkijat ovat raportoineet tiettyjen tuotteiden faksiominaisuuksien viestintäprotokollissa ilmenneitä haavoittuvuuksia. (CVE-ID: CVE-2018-5924, CVE 2018-5925). Lisätietoja haavoittuvuuksien vaikutuksista faksiominaisuudella varustettuihin Canon-tuotteisiin on alla:
Canon-tuotteissa ei käytetä haavoittuvuuksissa hyödynnettyä G3-värifaksiprotokollaa, joten Canonin arvion mukaan haavoittuvuus ei koske seuraavia tuotteita: imageRUNNER/iR-, imageRUNNER ADVANCE-, LASER CLASS-, imagePRESS-, FAXPHONE-, GP- ja imageCLASS/i-SENSYS -sarjan mallit, joissa on faksiominaisuus.
MAXIFY- ja PIXMA-sarjojen faksiominaisuudella varustetuissa tuotteissa käytetään G3-värifaksiprotokollaa. Canon ei kuitenkaan ole todennut, että fakseissa käytettäisiin vahingollista koodia tai että näihin laitteisiin tallennetut tiedot olisivat vaarassa.
Jatkamme tilanteen seuraamista ja ryhdymme tarvittaviin toimenpiteisiin taataksemme laitteidemme turvallisuuden.
Suorittimien haavoittuvuus Spectre- ja Meltdown-hyökkäyksille – lisätty 8.3.2018
Intelin, AMD:n ja ARM:n suorittimiin liittyvistä haavoittuvuuksia tiedotettiin hiljattain. Näissä suorittimissa suorituskykyä parannetaan ennakoivalla suorituksella. Haavoittuvuuksia hyödyntävä hyökkääjä saattaa päästä luvattomasti käsiksi yksityisen välimuistin sisältöön.
Havaitut kaksi haavoittuvuustyyppiä käyttävät eri tekniikoita ennakoitavan suorituksen toimintojen hyödyntämiseen tietyissä suorittimissa. Nämä haavoittuvuudet ovat CVE-2017-5715, CVE-2017-5753: “Spectre” ja CVE-2017-5754: “Meltdown”.
Haavoittuvuudet saattavat vaikuttaa seuraaviin Canonin ulkoisiin ohjaintuotteisiin. Vaikka näiden haavoittuvuuksien hyödyntämistapoja ei ole tällä hetkellä tiedossa, Canon valmistelee korjauksia, joiden avulla asiakkaat voivat huoletta jatkaa tuotteidemme käyttöä.
ColorPASS:
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1
imagePASS:
U1 v1.1, U1 v1.1.1, U2 v1.0
Y1 v1.0, Y2 v1.0
imagePRESS CR -palvelin:
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1
imagePRESS-palvelin:
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0
F200 v1.21, H300 v1.0
J100 v1.21, J200 v1.21
K100 v1.0, K200 v1.0
Q2 v2.0, Z1 v1.0
Haavoittuvuudet saattavat vaikuttaa seuraavaan Canon-palveluun. Vaikka näiden haavoittuvuuksien hyödyntämistapoja ei ole tällä hetkellä tiedossa, Canon on korjannut ongelman helmikuussa 2018.
MDS Cloud
Näillä haavoittuvuuksilla ei ole vaikutuksia eikä tunnettuja hyödyntämistapoja mihinkään Canon-lasertulostimiin tai niihin liittyviin ohjelmistotuotteisiin edellä mainittua lukuun ottamatta. Asiakkaat voivat jatkaa tuotteidemme käyttämistä luotettavasti.
Canon pyrkii jatkuvasti takaamaan korkeimman mahdollisen turvatason kaikissa tuotteissa ja ratkaisuissa. Otamme asiakkaidemme tietoturvan vakavasti, ja sen suojaaminen on meille ensisijaisen tärkeää.
Haavoittuvuus Wi-Fi-salausprotokollassa WPA2 – 16.1.2018
Tutkija paljasti äskettäin haavoittuvuuden langattoman lähiverkon (Wi-Fi) WPA2-salausprotokollassa. Haavoittuvuudesta johtuen hyökkääjä voi kaapata asiakaslaitteen (laite, jossa on Wi-Fi-toiminto) ja tukiaseman (esim. reititin) välisen langattoman tiedonsiirron ja aiheuttaa vahinkoa. Haavoittuvuutta ei voi käyttää hyväksi Wi-Fi-kantaman ulkopuolella tai internetin välityksellä.
Emme ole vielä pystyneet vahvistamaan, onko haavoittuvuus aiheuttanut ongelmia Canon-tuotteiden käyttäjille. Suosittelemme kuitenkin seuraavia toimenpiteitä, jotta asiakkaamme voivat rauhassa jatkaa tuotteidemme käyttöä:
• Liitä yhteensopivat laitteet suoraan verkkoon USB-kaapelilla tai Ethernet-kaapelilla.
• Salaa tiedonsiirto laitteissa, joissa salaus (TLS/IPSec) on mahdollista.
• Käytä fyysisiä tallennusvälineitä, kuten SD-kortteja.
• Käytä Suora langaton yhteys- ja Suora yhteys -asetuksia.
Ominaisuuksien käyttö ja toiminnot vaihtelevat laitteittain. Katso tarkemmat tiedot laitteen käyttöohjeesta. Suosittelemme myös tekemään tarvittavat toimenpiteet tietokoneessasi ja älypuhelimessasi. Lisätietoja laitekohtaisista toimenpiteistä saat laitteen valmistajalta.