Beveiliging van Canon-producten
Op deze pagina vindt u belangrijke informatie over de beveiliging van Canon-producten
Op deze pagina vindt u belangrijke informatie over de beveiliging van Canon-producten
Na onderzoek hebben we vastgesteld dat imageRUNNER-, imageRUNNER ADVANCE- of i-SENSYS-producten niet zijn getroffen door dit beveiligingslek. We blijven het Canon-productassortiment onderzoeken en zullen dit artikel bijwerken zodra er meer informatie beschikbaar is.
De Federal Office for Information Security (BSI) heeft Canon laten weten dat de netwerkimplementatie binnen microMIND kwetsbaar is voor misbruik. Deze beveiligingslekken zijn ontdekt door de onderzoekers Jos Wetzels, Stanislav Dashevskyi, Amine Amri en Daniel dos Santos van Forescout Technologies.
microMIND maakt gebruik van een open-source uIP-netwerkstack https://en.wikipedia.org/wiki/UIP_(micro_IP). Deze wordt door duizenden bedrijven gebruikt om hun software/hardware in te schakelen met behulp van een netwerk. De onderzoekers constateerden dat misbruik van deze beveiligingslekken kan leiden tot een DOS-aanval. Deze aanval zet het apparaat offline of voert een Remote Code Execution (RCE) uit op microMIND zelf. Om deze beveiligingslekken op te lossen, heeft NT-ware een nieuwe firmware uitgebracht die alle gerapporteerde problemen oplost. Op het moment dat dit beveiligingsbericht wordt geschreven, zijn er geen gevallen bekend van misbruik gericht op microMIND.
Naam en koppeling van het beveiligingslek: AMNESIA:33, https://www.forescout.com/amnesia33/
CVE's die zijn verholpen met deze firmware: CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437
CVE's die niet gerelateerd zijn aan de microMIND-implementatie van de uIP-stack: CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335
Getroffen uniFLOW microMIND-firmware: versie 2.0.9 en ouder, of versies geleverd voor oktober 2020.
Beperking/actie: als u een getroffen microMIND hebt, neemt u contact op met uw Canon-vertegenwoordiger om een upgrade van de firmware te regelen.
SCADAfence Ltd., een cyberbeveiligingsbedrijf gevestigd in Israël, heeft Canon op de hoogte gebracht van een beveiligingslek met betrekking tot het IP-stackprotocol, dat wordt gebruikt door Canon's laserprinters en multifunctionele printers voor kleine kantoren. Raadpleeg CVE-2020-16849 voor meer informatie.
Het is mogelijk dat het apparaat door derden wordt aangevallen wanneer het is verbonden met een netwerk, waardoor fragmenten van het adresboek en/of het beheerderswachtwoord via een onbeveiligd netwerk kunnen worden verkregen. Houd er rekening mee dat wanneer HTTPS wordt gebruikt voor de communicatie van de externe gebruikersinterface, de gegevens worden beveiligd door middel van versleuteling.
Tot op heden zijn er geen gevallen bekend waarin deze beveiligingslekken hebben geleid tot schade. Om ervoor te zorgen dat klanten Canon's producten veilig kunnen gebruiken, is er nieuwe firmware beschikbaar voor de volgende producten:
i-SENSYS MF-serie
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW
i-SENSYS LBP-serie
LBP113W
LBP151DW
LBP162DW
imageRUNNER-serie
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF
Raadpleeg de gebruikershandleiding voor meer informatie over het bijwerken van de firmware.
Het is raadzaam een privé-IP-adres te gebruiken voor producten en gebruik te maken van netwerkparameterinstellingen, zoals een firewall of een Wi-Fi-router die de netwerktoegang kan beperken. De sectie 'Beveiliging voor producten die zijn verbonden met een netwerk' verderop op deze pagina bevat aanvullend advies.
Na onderzoek naar het beveiligingslek met betrekking tot "Ripple20" is er geen probleem vastgesteld met Canon-printerproducten.
Canon's wireless functiewachtwoord voldoet aan de huidige WPA-standaard, maar Canon is zich ervan bewust dat een numeriek wachtwoord van acht tekens niet meer zo veilig is als eerst. Canon raadt daarom aan om in omgevingen waar wireless beveiliging een probleem is (zoals in een openbare ruimte) ervoor te zorgen dat Canon-apparatuur altijd is verbonden met een Wi-Fi-netwerk met infrastructuur. Canon neemt beveiligingsproblemen heel serieus en past daarom de Wi-Fi-beveiligingsconfiguraties voor producten aan om u te helpen goed beveiligd te blijven. Upates worden gepubliceerd op deze pagina's. REDTEAM.PL heeft Canon op de hoogte gebracht van de veiligheid van wachtwoorden en de risico's die ze opleveren. Canon stelt dit zeer op prijs.
Het imageRUNNER ADVANCE-softwareplatform versie 3.8 en hoger introduceerde het Syslog-protocol (compatibel met RFC 5424, RFC 5425 en RFC 5426) dat real-time eventberichten naar bestaande apparaatlogboeken stuurt om de zichtbaarheid van het apparaat en de apparaatbeveiliging te verbeteren. Dit bouwt voort op de gegevenslogboeken waarmee een verbinding met een bestaande SIEM (Security Information Event Management) of Syslog-server mogelijk wordt gemaakt. In het SIEM_spec-document hieronder vindt u meer informatie over de berichttypen en logboekgegevens die kunnen worden gegenereerd.
Er zijn 11 beveiligingslekken, genaamd 'URGENT/11' (CVE-2019-12255 tot CVE-2019-12265), vastgesteld binnen het VxWorks-besturingssysteem. Er is gebleken dat de IPnet TCP/IP stack die werd gebruikt in de VxWorks-besturingssystemen, ook is gebruikt door andere realtime besturingssystemen. Hierdoor is er een grotere kans op beveiligingslekken (CVE-2019-12255, CVE-2019-12262 en CVE-2019-12264) in een groot aantal producten.
Een aantal oude Europese modellen is mogelijk gevoelig voor dit probleem, aangezien er is vastgesteld dat zij gebruikmaken van de getroffen IPnet TCP/IP stack:
Bedankt dat u hebt gekozen voor een product van Canon.
Een internationaal beveiligingsteam van onderzoekers heeft ons gewezen op een beveiligingsprobleem in verband met communicatie via Picture Transfer Protocol (PTP) dat wordt gebruikt door digitale Canon-camera's, en een beveiligingsprobleem in verband met firmware-updates.
(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001)
Als gevolg van deze beveiligingsproblemen kunnen derden mogelijk toegang krijgen tot de camera als deze is aangesloten op een PC of mobiel apparaat dat is gehijackt via een onbeveiligd netwerk.
Op dit moment zijn er geen gevallen bekend waarin deze beveiligingsproblemen hebben geleid tot schade, maar om ervoor te zorgen dat onze klanten onze producten veilig kunnen gebruiken, willen wij u graag informeren over de volgende tijdelijke oplossingen.
PC's en mobiele apparaten worden steeds vaker gebruikt in omgevingen met onbeveiligde netwerken (gratis Wi-Fi) terwijl gebruikers vaak niet eens weten hoe het met de beveiliging is gesteld. Omdat afbeeldingen tegenwoordig bijna altijd via een Wi-Fi-verbinding worden overgezet van de camera naar een mobiel apparaat, implementeren wij firmware-updates voor de volgende modellen met Wi-Fi-functie.
Deze beveiligingsproblemen zijn van toepassing op de volgende EOS-serie digitale SLR- en systeemcamera's:
| EOS-1DC*1 *2 | EOS 6D Mark II | EOS 760D | EOS M6 Mark II | PowerShot SX740 HS |
| EOS-1DX*1 *2 | EOS 7D Mark II*1 | EOS 800D | EOS M10 | |
| EOS-1DX MK II*1 *2 | EOS 70D | EOS 1300D | EOS M50 | |
| EOS 5D Mark III*1 | EOS 77D | EOS 2000D | EOS M100 | |
| EOS 5D Mark IV | EOS 80D | EOS 4000D | EOS R | |
| EOS 5DS*1 | EOS 200D | EOS M3 | EOS RP | |
| EOS 5DS R*1 | EOS 250D | EOS M5 | PowerShot G5X Mark II | |
| EOS 6D | EOS 750D | EOS M6 | PowerShot SX70 HS |
*1 Als een Wi-Fi-adapter of een Wireless File Transmitter wordt gebruikt, kan Wi-Fi-verbinding tot stand worden gebracht.
*2 Ethernet-verbindingen worden ook beïnvloed door deze beveiligingsproblemen.
Informatie over firmware-updates is beschikbaar voor elk product afzonderlijk, vanaf producten waarvoor de voorbereidingen zijn voltooid.
Onlangs hebben onderzoekers beveiligingslekken gerapporteerd in de communicatieprotocollen van de faxfuncties van bepaalde producten. (CVE-ID: CVE-2018-5924, CVE 2018-5925). Voor informatie over het effect van deze beveiligingslekken op Canon-producten die zijn uitgerust met faxfuncties, zie de informatie hieronder:
De volgende producten worden volgens Canon-onderzoek niet beïnvloed aangezien zij niet gebruikmaken van het Colour G3 Fax Protocol dat door deze beveiligingslekken wordt misbruikt: modellen uit de series imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP en imageCLASS/i-SENSYS die zijn uitgerust met faxfuncties.
Producten uit de MAXIFY- en PIXMA-serie die zijn uitgerust met faxfuncties maken gebruik van het Colour G3 Fax Protocol. Canon heeft echter vastgesteld dat er geen risico bestaat dat schadelijke code wordt uitgevoerd via het faxcircuit of dat de beveiliging van informatie die op deze apparaten is opgeslagen gevaar loopt.
Canon zal deze situatie blijven volgen en de nodige maatregelen nemen om ervoor te zorgen dat de veiligheid van Canon-apparaten wordt gewaarborgd.
Twee varianten van de beveiligingslekken die verschillende technieken gebruiken om misbruik te maken van de functies voor speculatieve uitvoering binnen de getroffen processoren zijn geïdentificeerd en benoemd. Ze staan bekend als CVE-2017-5715, CVE-2017-5753: Spectre, en CVE-2017-5754: Meltdown.
De volgende externe controllers van Canon kunnen worden beïnvloed door de beveiligingslekken. Hoewel er momenteel geen manier bekend is om deze beveiligingslekken te misbruiken, worden er maatregelen genomen zodat klanten Canon-producten zonder zorgen kunnen blijven gebruiken.
ColorPASS:
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1
imagePASS:
U1 v1.1, U1 v1.1.1, U2 v1.0
Y1 v1.0, Y2 v1.0
imagePRESS CR Server:
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1
imagePRESS Server:
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0
F200 v1.21, H300 v1.0
J100 v1.21, J200 v1.21
K100 v1.0, K200 v1.0
Q2 v2.0, Z1 v1.0
De volgende Canon-services kunnen worden beïnvloed door de beveiligingslekken. Hoewel er momenteel geen manier bekend is om deze beveiligingslekken te misbruiken, zijn er voor het einde van februari 2018 maatregelen genomen.
MDS Cloud
Voor alle (multifunctionele) laserprinters van Canon en bijbehorende softwareproducten, behalve de hierboven genoemde, is er geen manier bekend om misbruik te maken van deze beveiligingslekken. Klanten kunnen blijven vertrouwen op Canon-producten.
Canon werkt continu om het hoogste niveau van veiligheid te garanderen voor alle producten en oplossingen. Canon neemt de veiligheid van haar klantinformatie serieus en de bescherming ervan heeft de hoogste prioriteit.
Een onderzoeker heeft onlangs een beveiligingslek in het versleutelingsprotocol WPA2 van de standaard wireless LAN (Wi-Fi) bekendgemaakt, genaamd KRACK. Dit beveiligingslek stelt een aanvaller in staat opzettelijk de wireless overdracht tussen de client (terminal met Wi-Fi-functionaliteit) en het access point (de router enz.) te onderscheppen en mogelijk schadelijke handelingen uit te voeren. Dit beveiligingslek kan daarom niet worden misbruikt wanneer iemand zich niet binnen het bereik van het Wi-Fi-signaal bevindt of internet op een externe locatie gebruikt als tussenpersoon.
Canon is nog niet op de hoogte van problemen met Canon-producten naar aanleiding van dit beveiligingslek. Canon wil dat haar klanten de producten met een gerust hart kunnen blijven gebruiken, en daarom raden we de volgende preventieve maatregelen aan:
•Gebruik een USB-kabel of Ethernet-kabel om compatibele apparaten rechtstreeks met een netwerk te verbinden
•Versleutel gegevensoverdracht op apparaten met instellingen voor versleuteling (TLS/IPSec)
•Gebruik fysieke media zoals SD-kaarten met compatibele apparaten
•Gebruik instellingen zoals Wireless Direct en Direct Connect met compatibele apparaten
Raadpleeg de handleiding van uw apparaat voor meer informatie over de specifieke bedieningsprocedure en functies van uw apparaat. Canon raadt u ook aan om de benodigde maatregelen te treffen voor andere apparaten, zoals uw PC of smartphone. Neem contact op met de fabrikant van het betreffende apparaat voor informatie over de benodigde maatregelen.
Vele producten en hun verschillende functies kunnen worden gebruikt op afstand via internet of wireless LAN. Producten verbinden met een netwerk brengt echter mogelijk beveiligingsproblemen met zich mee zoals ongeautoriseerde toegang en gebruik door kwaadwillende derden.
Om het risico op beveiligingsproblemen te minimaliseren, is het noodzakelijk om de juiste instellingen toe te passen en uw producten in een veilige omgeving te gebruiken. Hieronder vindt u een aantal veiligheidsmaatregelen zodat klanten hun Canon-producten op een veiligere manier kunnen blijven gebruiken.
Beveiligingsmaatregelen bij het gebruik van Canon-producten
Wanneer u het product voor de eerste keer gebruikt
Wanneer u het product bedient
Bij verwijdering van het product
Bij verwijdering van het product wist u alle opgeslagen gegevens en setpoints van het apparaat.
Veiligheidsmaatregelen voor specifieke Canon-producten
Canon is op de hoogte van nieuwsartikelen met betrekking tot het onderzoek van University Alliance Ruhr met betrekking tot mogelijke kwetsbaarheid voor netwerkprinters via de PostScript-programmeertaal die overal in deze tak van industrie wordt gebruikt. Tijdens het onderzoek zijn er geen apparaten van Canon getest.
Canon werkt constant om het hoogste beveiligingsniveau te garanderen in alle producten en oplossingen, waaronder netwerkprinters. Canon neemt de veiligheid van haar klantinformatie serieus en de bescherming ervan heeft de hoogste prioriteit. Canon's gids over MFD Hardening geeft informatie en advies over de beste configuratie-instellingen voor veilige implementatie.
Hieronder vindt u informatie over de veiligheidsmaatregelen voor specifieke Canon-producten en de configuratie-instructies. Opmerking: deze informatie is alleen beschikbaar in het Engels.
ISO 27001 Informatiebeveiliging
Canon geeft de hoogste prioriteit aan informatiebeveiliging en waarborgt de vertrouwelijkheid, integriteit en beschikbaarheid van geschreven, gesproken en elektronische informatie. Canon staat zo voortdurend garant voor:
De ISO 27001-certificering laat zien dat Canon Europa over de juiste systemen beschikt om bedrijfsinformatie en -gegevens te beschermen, of dit nu online of offline is. Met de ISO 27001-certificering kan Canon Europa bevestigen dat haar beveiligingsprocessen, van de ontwikkeling tot aan de levering, extern zijn beoordeeld en door een derde partij zijn gecertificeerd volgens een erkende internationale standaard.
| Canon Europa heeft een ISO 27001-certificering behaald voor het managementsysteem voor informatiebeveiliging, om klanten ervan te verzekeren dat Canon voldoet aan normen van wereldklasse. De certificering omvat alle aspecten van informatiebeveiliging, van risico- en auditmanagement tot productbeveiliging en incidentmanagement. |
Het managementsysteem voor informatiebeveiliging (Information Security Management System, of ISMS) van Canon omvat de volgende gebieden:
Als u op de hoogte bent van een beveiligingsprobleem met betrekking tot een product, systeem of service van Canon, horen we dat graag van u.
Als u denkt dat u een beveiligingsprobleem met een Canon-product hebt ontdekt of een veiligheidsincident wilt rapporteren, willen we u vragen een e-mail te sturen naar product-security@canon-europe.com. Geef een gedetailleerde samenvatting van het beveiligingsprobleem, de exacte naam van het product, de softwareversie en de aard van het probleem op. Vermeld ook een e-mailadres en telefoonnummer zodat we contact met u kunnen opnemen als we meer informatie nodig hebben.
Het Information Security-team van Canon zet zich in om medewerkers en klanten te beschermen. Als onderdeel van deze toewijding nodigen we beveiligingsonderzoekers uit om Canon en haar gebruikers te beschermen door proactief beveiligingslekken en zwakke punten te melden. Canon werkt elke dag hard om de systemen en processen te onderhouden en te verbeteren, zodat klanten en partners veilig online kunnen communiceren en winkelen. Als u echter een zwak punt in een van Canon's IT-systemen aantreft, stelt Canon uw hulp zeer op prijs.
De openbaarmaking van zwakke plekken in de beveiliging helpt Canon de veiligheid en privacy van Canon gebruikers te waarborgen door als vertrouwde partner te fungeren. In Canon's beleidsdocument worden de vereisten en het mechanisme met betrekking tot de openbaarmaking van beveiligingslekken in IT-systemen van Canon uitgelegd. Hiermee kunnen onderzoekers het IT-systeem van Canon evalueren om op een veilige en ethische manier beveiligingslekken te ontdekken en dit te melden aan het Information Security-team van Canon.
Opmerking: dit e-mailadres is alleen bedoeld voor het melden van beveiligingsproblemen en niet voor algemene problemen met een Canon-product waarvoor u ondersteuning wilt. Bezoek onze ondersteuningspagina’s voor hulp bij andere problemen met uw Canon-product.
We nemen beveiligingsproblemen heel serieus en we komen snel in actie om controleerbare problemen te verhelpen, maar sommige Canon-producten zijn zo complex dat het een tijdje duurt voordat de fouten zijn gecorrigeerd. Als we correct worden geïnformeerd over legitieme problemen, doen we ons best om zo snel mogelijk op uw e-mail te reageren, het probleem te onderzoeken en te verhelpen.
Canon heeft vernomen dat meerdere websites beweren dat ze sterk afgeprijsde Canon-producten met meer dan 90% korting aanbieden. Deze websites zien eruit als de officiële Canon Store. Canon gelooft dat deze websites niet echt zijn en alleen Canon-klanten willen verwarren en overtuigen om persoonlijke en financiële gegevens te delen. Canon adviseert haar klanten alert te zijn tijdens het online shoppen bij Canon en andere winkels.
U kunt de officiële Europese Canon-webshops herkennen aan de uniforme domeinnaam: https://store.canon.xx
De laatste tekens verschillen per land. Bijvoorbeeld: https://store.canon.fr en https://store.canon.nl.