お客様各位

平素より、弊社商品をご愛用いただき、誠にありがとうございます。

弊社DocuPrint製品の一部機種に複数の脆弱性を有していることが判明しました。該当する商品を以下に記載致します。

大変ご迷惑をおかけしますが、お使いの機種が対象機種に該当するかをご確認いただき、該当する場合には、ファームウェアを更新していただけますようお願いいたします。

弊社では、本お知らせの掲載時点において、本脆弱性を利用した攻撃は確認しておりません。

脆弱性の内容

上記の脆弱性に関して、主にその影響についてご説明します。なお、脆弱性の正式な呼称や技術的な内容については、『関連情報』項のCVE番号のリンク先をご確認ください。

①デバイスハングアップの可能性（CVE-2017-9765）

不正に改ざんされたメッセージを受信した場合、デバイスがハングアップする可能性があります。デバイスに格納された情報が漏洩することはありません。デバイスの電源Off/Onで復旧します。

②デバイス間でメッセージが大量に送られる可能性（CVE-2024-2169）

不正に改ざんされたメッセージを受信した場合、連鎖的にメッセージ送信が発生してネットワーク負荷が増し、通信が阻害されてネットワークのサービス運用妨害（DoS）が起きる恐れがあります。

③デバイスの設定情報が読み取られる可能性（CVE-2024-51977）

不正なアクセスによってデバイスの設定情報の一部が読み取られることがあります。ジョブの内容やアドレス帳が読み取られることはありません。

④デバイスハングアップの可能性（CVE-2024-51979）

不正に改ざんされたメッセージを受信した場合、デバイスがハングアップする可能性があります。デバイスに格納された情報が漏洩することはありません。デバイスの電源Off/Onで復旧します。

⑤ポートスキャンの可能性（CVE-2024-51980）

デバイスの一部機能を利用して、同一ネットワーク内の他のデバイスに対してポートスキャンを実施できる可能性があります。

⑥サーバー側リクエスト偽造攻撃の可能性（CVE-2024-51981）

不正に加工されたメッセージを受信した場合、他のデバイス・端末に対して別のメッセージを送信できる可能性があります。

⑦デバイス再起動の可能性（CVE-2024-51983）

不正に加工されたメッセージを受信することで、デバイスが再起動する可能性があります。

⑧pass-back攻撃の可能性（CVE-2024-51984）

攻撃者がデバイスの設定情報にアクセスできる場合に限り、デバイスに登録されている外部サービスへのリクエスト送付先を書き換えることで、その外部サービスの資格情報を読み取る攻撃（pass-back攻撃）が可能になる可能性があります。

対象機種

下表の「対象機種」列からご利用中の商品を探し、その行の「対策ファームウェアバージョン」列のリンク先のページから対策版ファームウェアをダウンロードしてください。ファームウェアの適用方法については、ファイル解凍後にreadme.txtを参照してください。

〇：該当する、-：該当しない
本件脆弱性の該当機種は上記リスト掲載のもののみです。
各脆弱性の内容については、前項『脆弱性の内容』を参照してください。

対応

速やかに対策版ファームウェアをご適用いただけますようお願いします。

回避策

本脆弱性を修正した対策版ファームウェアを適用するかどうかに関係なく、以下のご対応をお願い致します。下記回避策を実施いただくことで、脆弱性による攻撃のリスクを低減することができます。

• ファイアウォール等での保護されたネットワークの中で機器をご利用ください
• インターネットからのアクセスを許可する場合は、必要な IP アドレスのみにアクセスを許可する、またはVPN を用いて接続することをご検討ください

関連情報

CVE-2017-9765

CVE-2024-2169

CVE-2024-51977

CVE-2024-51979

CVE-2024-51980

CVE-2024-51981

CVE-2024-51983

CVE-2024-51984

本件に関するお問合せ

富士フイルムビジネスイノベーション カストマーコンタクトセンター
Webでのお問い合わせ ： https://www.fujifilm.com/fb/support/callcenter/cic
上記URLより、「商品に関するご質問」を選択し、お問い合わせください。
電話番号：機械本体の保守カードをご確認下さい
受付時間：土日祝日を除く、9：00-17：30