富士フイルムビジネスイノベーション製プリンタに CSRF の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月6日、富士フイルムビジネスイノベーション製プリンタにおけるクロスサイトリクエストフォージェリの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。横浜国立大学の櫛引淳之介氏、九鬼琉氏、溝口将隆氏、佐々木貴之氏、吉岡克成氏が報告を行っている。影響を受ける機種は以下の通り。

DocuPrint P450 d
DocuPrint P450 JM
DocuPrint P450 ps
DocuPrint C2450
DocuPrint C2450 II
DocuPrint C3200A
DocuPrint C3350
DocuPrint C3360
DocuPrint C3450 d
DocuPrint C3450 d II
DocuPrint 4050
DocuPrint 4060
DocuPrint 5060
DocuCentre-IV C2270
DocuCentre-IV C3370
DocuCentre-IV C4470
DocuCentre-IV C5570
ApeosPort-IV C2270
ApeosPort-IV C3370
ApeosPort-IV C4470
ApeosPort-IV C5570
ApeosPort-IV C2270 R
ApeosPort-IV C3370 R
ApeosPort-IV C4470 R
ApeosPort-IV C5570 R
ApeosWide 6050/3030
DocuWide 6057/3037
DocuWide 6055
DocuWide 3035
DocuWide C842
DocuWide 2055
DocuWide 9098α
DocuWide 9095α

　富士フイルムビジネスイノベーション株式会社が提供する複数のプリンタには、クロスサイトリクエストフォージェリの脆弱性が存在し、当該製品にログインした状態のユーザーが細工されたページにアクセスした場合、Web UI 上のユーザー情報を変更される可能性がある。また、ユーザーが機械管理者の場合、管理者 ID やパスワード等の設定が変更される可能性がある。

　富士フイルムビジネスイノベーションによると、CentreWare Internet Services機能またはインターネットサービス機能を停止することで、本件脆弱性を悪用した攻撃を防ぐことができる。手順については同社ウェブサイトに記載している。