新发布的路径遍历漏洞可能会导致使用京瓷打印机和其他多功能设备的企业遭受帐户接管、数据盗窃和后续攻击。
京瓷是一家日本电子产品制造商,以其多功能打印机而闻名。根据Statista的数据,截至2021年,它占据了全球打印机市场份额的7.8%左右。
12月22日,该公司承认存在一个影响其Device Manager Web应用程序的漏洞,IT管理员使用该应用程序来管理一台或多台京瓷办公设备。1月8日研究人员填补了他们标记为CVE-2023-50916的漏洞的空白。
CVE-2023-50916允许攻击者将DeviceManager身份验证尝试集中到自己的恶意服务器。它尚未在野外被利用,尚未由MITRE发布,也尚未由国家漏洞数据库(NVD)进行评分。虽然我不确定他们将如何对漏洞进行排名,但我们预计这将是一个中等严重程度的漏洞,CVSS3.1基本评分可能在5.6左右。
京瓷已发布补丁。它没有立即回应DarkReading的置评请求。
Kyocera设备管理器中的错误
CVE-2023-50916的潜在问题与KyoceraDeviceManager的一个次要功能有关,该功能允许管理员配置应用程序使用的数据库的备份位置。
当然,应用程序期望指向本地路径-本地系统上的目录。但是,使用Web拦截代理,或者简单地通过将请求发送到应用程序端点,攻击者可以强制其接受UNC路径。(UNC路径指定资源在网络上的位置。)
设置自己的服务器的攻击者可以拦截应用程序的身份验证尝试,从而获得对与处理所有设备管理器功能的更高服务级别进程关联的凭据的访问权限。然后它们可以通过网络进行旋转和横向移动。
这个问题在一定程度上得到了缓解,因为攻击者在尝试拦截之前隐含地需要已经能够访问公司的网络。
这里可以实现的严重性“实际上取决于配置;管理员如何设置”。如果该服务只是设置为本地默认的低访问服务,则攻击者不会从这次攻击中获得太多好处。该系统上可能还有其他凭据,他们只需通过访问该凭据就可以访问这些凭据但如果该服务是通过ActiveDirectory(AD)以及许多其他服务帐户进行管理的,则可能会启用对AD凭据的访问,并且它们可以从那里继续扩展。
因此,公司需要正确划分其IT环境。如果您的Kyocera Device Manager与HR数据库服务器共享服务帐户?这可能不是一件好事哦。
