Nowo opublikowana luka w zabezpieczeniach umożliwiająca przekroczenie ścieżki może umożliwić przejęcie konta, kradzież danych i późniejsze ataki na organizacje korzystające z Kyocera drukarki i inne urządzenia wielofunkcyjne.
Kyocera to japoński producent elektroniki znany ze swoich drukarek wielofunkcyjnych. Według stanu na 2021 r. posiadał około 7.8% udziału w światowym rynku drukarek ogółem. dane od Statista.
22 grudnia firma zauważyła lukę w zabezpieczeniach wpływające na aplikację internetową Menedżera urządzeń, której administratorzy IT używają do zarządzania jednym lub większą liczbą urządzeń biurowych Kyocera. I w wpis na blogu opublikowany 8 stycznia, badacze z Trustwave Spiderlabs uzupełnili luki w związku z błędem, który oznaczyli jako CVE-2023-50916.
CVE-2023-50916 umożliwia osobie atakującej kierowanie prób uwierzytelnienia Menedżera urządzeń do własnego złośliwego serwera. Nie został on jeszcze wykorzystany w środowisku naturalnym, opublikowany przez MITRE ani oceniony przez Krajową Bazę Danych o Podatnościach (NVD). „Chociaż nie jestem pewien, jak ocenią tę lukę, spodziewamy się, że będzie to luka o średnim poziomie ważności, a podstawowy wynik CVSS 3.1 prawdopodobnie wyniesie około 5.6” – ocenia Karl Sigler, starszy menedżer ds. badań nad bezpieczeństwem w Trustwave SpiderLabs Threat Intelligence.
Kyocera wydała łatkę. Nie odpowiedziała natychmiast na prośbę o komentarz ze strony Dark Reading.
Błąd w Menedżerze urządzeń Kyocera
Problem leżący u podstaw CVE-2023-50916 ma związek z drobną funkcją Menedżera urządzeń Kyocera, która umożliwia administratorom skonfigurowanie lokalizacji kopii zapasowej bazy danych używanej przez aplikację.
Naturalnie aplikacja oczekuje wskazania ścieżki lokalnej — katalogu w systemie lokalnym. Jednak za pomocą serwera proxy przechwytującego WWW lub po prostu wysyłając żądanie do punktu końcowego aplikacji, osoba atakująca może zmusić go do zaakceptowania ścieżki UNC. (Ścieżka UNC określa lokalizację zasobu w sieci.)
Osoba atakująca, która skonfigurowała własny serwer, może przechwycić próbę uwierzytelnienia aplikacji, uzyskując dostęp do poświadczeń powiązanych z procesem wyższego poziomu usługi obsługującym całą funkcjonalność Menedżera urządzeń. Następnie mogą się obracać i poruszać w poprzek sieci.
Problem jest częściowo rozwiązany przez ukrytą potrzebę, aby osoba atakująca miała już dostęp do sieci firmowej przed podjęciem próby przechwycenia.
A dotkliwość tego, co można tutaj osiągnąć, „naprawdę zależy od konfiguracji; jak administratorzy wszystko skonfigurowali” – wyjaśnia Sigler. „Jeśli usługa jest skonfigurowana jako domyślna lokalna usługa o niskim dostępie, osoba atakująca nie zyska zbyt wiele na tym ataku. W systemie mogą znajdować się dodatkowe dane uwierzytelniające, do których będą mogli uzyskać dostęp po prostu uzyskując dostęp do tej usługi. Ale jeśli usługa jest zarządzane z Active Directory (AD), wraz z wieloma innymi kontami usług, może umożliwić dostęp do danych uwierzytelniających dla usługi AD, dzięki czemu będą one mogły dalej się rozwijać.
Z tego powodu Sigler podkreśla potrzebę właściwej segmentacji swoich środowisk IT przez firmy.
„Jeśli menedżer urządzeń Kyocera udostępnia konta usług serwerowi bazy danych HR? To chyba nie jest nic dobrego” – mówi.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/path-traversal-bug-kyocera-office-printers
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 1
- 2021
- 22
- 7
- a
- słabsze
- zdolność
- Zdolny
- akceptując
- dostęp
- Dostęp
- Stosownie
- Konto
- Konta
- osiągnięty
- przyznał
- aktywny
- Ad
- Dodatkowy
- Administratorzy
- wpływający
- Wszystkie kategorie
- pozwala
- wzdłuż
- już
- an
- i
- Aplikacja
- Zastosowanie
- na około
- AS
- ocenia
- powiązany
- At
- atakować
- Ataki
- próba
- próbując
- Próby
- Uwierzytelnianie
- backup
- baza
- BE
- być
- zanim
- Blog
- Bug
- ale
- by
- CAN
- komentarz
- Firmy
- sukcesy firma
- systemu
- kontynuować
- mógłby
- Listy uwierzytelniające
- Ciemny
- Mroczne czytanie
- dane
- Baza danych
- grudzień
- Domyślnie
- zależy
- urządzenie
- urządzenia
- ZROBIŁ
- do
- Elektronika
- umożliwiać
- Punkt końcowy
- środowiska
- Rozszerzać
- oczekiwanie
- oczekuje
- Objaśnia
- eksploatowany
- wypełniony
- W razie zamówieenia projektu
- od
- funkcjonować
- Funkcjonalność
- zyskuje
- luki
- Ogólne
- otrzymać
- Globalne
- rynek światowy
- będzie
- dobry
- Prowadzenie
- Have
- he
- tutaj
- wyższy
- pasemka
- W jaki sposób
- hr
- HTML
- HTTPS
- i
- if
- natychmiast
- in
- zamiast
- Inteligencja
- najnowszych
- problem
- Wydany
- IT
- JEGO
- Styczeń
- Japonki
- jpg
- właśnie
- Karl
- znany
- Prawdopodobnie
- miejscowy
- lokalizacja
- Partia
- złośliwy
- zarządzanie
- kierownik
- Producent
- rynek
- udział w rynku
- Może..
- średni
- moll
- jeszcze
- ruch
- dużo
- narodowy
- Potrzebować
- sieć
- nowo
- of
- Biurowe
- on
- ONE
- or
- organizacji
- Inne
- ludzkiej,
- własny
- część
- Łata
- ścieżka
- Pivot
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- Popularny
- Post
- prawdopodobnie
- wygląda tak
- prawidłowo
- pełnomocnik
- opublikowany
- rankingu
- Czytający
- naprawdę
- powód
- zażądać
- Badania naukowe
- Badacze
- Zasób
- Odpowiadać
- s
- mówią
- wynik
- bezpieczeństwo
- segment
- wysyłanie
- senior
- serwer
- usługa
- zestaw
- Share
- dzielenie
- po prostu
- pewnie
- system
- Przejęcie
- że
- Połączenia
- kradzież
- ich
- następnie
- Tam.
- one
- rzecz
- rzeczy
- to
- groźba
- Przez
- do
- w kierunku
- zasadniczy
- posługiwać się
- używany
- za pomocą
- Ve
- wrażliwość
- sieć
- Aplikacja internetowa
- Co
- który
- Podczas
- KIM
- Dziki
- będzie
- w
- jeszcze
- Twój
- zefirnet