เคียวเซร่า ด็อกคิวเม้นท์ โซลูชั่นส์ (ประเทศไทย) ขอแจ้งให้ทราบว่า ช่องโหว่ด้านความปลอดภัยได้รับการยืนยันใน KYOCERA Command Center RX (ต่อไปนี้จะเรียกว่า "CCRX") ซึ่งอนุญาตให้ผู้ใช้ตรวจสอบและเปลี่ยนการตั้งค่าต่างๆ ของอุปกรณ์มัลติฟังก์ชั่นที่ให้บริการโดย Kyocera Document Solutions ผ่านเครือข่ายเน็ตเวิร์กได้แล้ว โดยคำอธิบายต่อไปนี้เป็นภาพรวมของปัญหาและวิธีแก้ไข ณ วันที่เผยแพร่ประกาศนี้ เรายังไม่ได้ยืนยันการโจมตีใดๆ ที่ใช้ประโยชน์จากช่องโหว่นี้
【คำอธิบายช่องโหว่】
1. Path Traversal
CCRX ได้มีช่องโหว่ Path Traversal ซึ่งเป็นช่องโหว่ด้านความปลอดภัยของเว็บที่อนุญาตให้ผู้โจมตีสามารถจัดการค่าที่อยู่ของไฟล์ (file path) โดยผู้โจมตีจะสามารถเข้าถึงระบบไฟล์ รวมถึงรหัสคำสั่ง (source code) และการตั้งค่าระบบที่สำคัญ
CVE ID:
CVE-2023-34259
2. Denial of Service (DoS)
มีช่องโหว่ด้านความปลอดภัยที่ทำให้ CCRX ไม่สามารถใช้งานได้ผ่านการโจมตี DoS โดยการจัดการค่าที่อยู่ของไฟล์ ดังนั้น CCRX
CVE ID:
CVE-2023-34260
3. User Enumeration
เมื่อพยายามเข้าสู่ระบบหลายๆครั้ง ผู้โจมตีสามารถได้มาซึ่งข้อมูลชื่อผู้ใช้ในฐานข้อมูลสำหรับอุปกรณ์ที่เข้าสู่ระบบ CCRX
CVE ID:
CVE-2023-34261
【วิธีการรับมือ】
เราได้จัดเตรียมเฟิร์มแวร์ที่แก้ไขปัญหาช่องโหว่ไวเรียบร้อยแล้ว ท่านสามารถติดต่อตัวแทนจำหน่ายในพื้นที่ของท่านในการแก้ไขช่องโหว่ดังกล่าว โดยช่องโหว่ User Enumeration เคียวเซร่า ด็อกคิวเม้นท์ โซลูชั่นส์ ตรวจสอบแล้วว่าความเสี่ยงด้านความปลอดภัยอยู่ในระดับต่ำ
【ผลิตภัณ์ที่ได้รับผลกระทบ】
เครื่องมัลติฟังก์ชั่นสี:
TASKalfa 8353ci、TASKalfa 8352ci、TASKalfa 7054ci、TASKalfa 6054ci、TASKalfa 5054ci、TASKalfa 4054ci、TASKalfa 3554ci、TASKalfa 2554ci、TASKalfa 6053ci、TASKalfa 5053ci、TASKalfa 4053ci、TASKalfa 3253ci、TASKalfa 2553ci、TASKalfa 6052ci、TASKalfa 5052ci、TASKalfa 4052ci、TASKalfa 3552d、TASKalfa 3252ci、TASKalfa 2552ci、ECOSYS M8130cidn、ECOSYS M8124cidn、TASKalfa 408ci、TASKalfa 358ci、TASKalfa 308ci、TASKalfa 406ci、TASKalfa 356ci、TASKalfa 306ci、TASKalfa 8353ci、TASKalfa 7353ci、ECOSYS M6635cidn、ECOSYS M6630cidn、ECOSYS M5525cdn、ECOSYS M5520cdw、ECOSYS M5520cdn、ECOSYS P5026cdn、ECOSYS P5026cdw。
เครื่องมัลติฟังก์ชั่นขาว-ดำ:
TASKalfa 9003i、TASKalfa 8003i、TASKalfa 7000i、TASKalfa 9002i、TASKalfa 7002i、TASKalfa 7004ci、TASKalfa 6004ci、TASKalfa 5004ci、TASKalfa 6003i、TASKalfa 5003i、TASKalfa 6002i、TASKalfa 5002i、TASKalfa MZ4000i、TASKalfa MZ3200i、TASKalfa 4012i、TASKalfa 3212i、TASKalfa 3511i、TASKalfa 3011i、ECOSYS M4132idn、ECOSYS M4125idn、TASKalfa 2321、TASKalfa 2320、TASKalfa 2201、TASKalfa 2020、TASKalfa 2200、TASKalfa 1801、TASKalfa 1800、ECOSYS M5526cdn、ECOSYS M5526cdw、ECOSYS M2040dn、ECOSYS M2540dn/L、ECOSYS M2540dn、ECOSYS M2640idw、ECOSYS M2640idw/L、ECOSYS M2635dn、ECOSYS M3860idn、ECOSYS M3660idn、ECOSYS M3645idn、ECOSYS M3645dn、ECOSYS M3145dn。
เครื่องพริ้นเตอร์สี:
ECOSYS P8060cdn、ECOSYS P6230cdn、ECOSYS P6235cdn、ECOSYS P7240cdn、ECOSYS P5025cdn、ECOSYS P5020cdw、ECOSYS P5020cdn。
เครื่องพริ้นเตอร์ขาว-ดำ:
ECOSYS P4060dn、ECOSYS P3260dn、ECOSYS P3155dn、ECOSYS P3150dn、ECOSYS P3145dn、ECOSYS P3060dn、ECOSYS P3055dn、ECOSYS P3050dn、ECOSYS P3045dn、ECOSYS P4145dn、ECOSYS P4135dn、ECOSYS P4140dn、ECOSYS P4045dn、ECOSYS P4040dn、ECOSYS P4035dn、ECOSYS P2040dn、ECOSYS P2235dn、ECOSYS P2230dn。
【กิตติกรรมประกาศ】
Kyocera Document Solutions ขอขอบคุณ Mr. Stefan Michlits จาก SEC Consult (www.sec-consult.com) บริษัทที่ปรึกษาด้านความปลอดภัยของออสเตรีย ผู้ค้นพบช่องโหว่นี้.
【ผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้】
สำหรับข้อมูลเพิ่มเติม โปรดติดต่อ
บริษัท เคียวเซร่า ด็อคคิวเม้นท์ โซลูชั่นส์ (ประเทศไทย) จำกัด
02-586-0333 ต่อ 1447
08.00 – 17.00 น.