KYOCERA Command Center RX (CCRX) 安全性公告

日本,2023年7月21日– 京瓷辦公資訊系統謹此通知您,在KYOCERA Command Center RX (以下簡稱 CCRX)中發現了可能透過網路連線修改多功能複合機設定的潛在漏洞,以下為該安全性問題的概述與解決方式。截至本公告日期,本公司未接獲任何利用此安全性漏洞所造成的資安事件通報。

概述

1. 目錄遍歷

CCRX 存在目錄遍歷漏洞。此攻擊手段的目的是利用存在缺陷的應用程式來獲得目標文件系統上的非授權訪問權限,包含原始碼和主要系統設定。
CVE ID: CVE-2023-34259

2. 拒絕服務

CCRX 存在一個安全性漏洞,使CCRX可能會受到拒絕服務攻擊 (Dos)。透過修改文件路徑的值,CCRX 可能無法正常運行。
CVE ID: CVE-2023-34260

3. 帳號列舉

攻擊者可透過此漏洞列舉帳號資訊,多次嘗試登入 CCRX 以搜尋設備資料庫是否存在帳號資訊。
CVE ID: CVE-2023-34261

解決方式

更新設備韌體。
京瓷已為可能受影響的產品提供韌體更新,請聯繫您當地的京瓷授權經銷商或提供您產品的服務廠商以取得更新。(註:「帳號列舉攻擊」被識別為低風險的安全性級別。)

受影響的產品

彩色多功能複合機:
TASKalfa 8353ci、TASKalfa 8352ci、TASKalfa 7054ci、TASKalfa 6054ci、TASKalfa 5054ci、TASKalfa 4054ci、TASKalfa 3554ci、TASKalfa 2554ci、TASKalfa 6053ci、TASKalfa 5053ci、TASKalfa 4053ci、TASKalfa 3253ci、TASKalfa 2553ci、TASKalfa 6052ci、TASKalfa 5052ci、TASKalfa 4052ci、TASKalfa 3252ci、TASKalfa 2552ci、ECOSYS M8130cidn、ECOSYS M8124cidn、TASKalfa 408ci、TASKalfa 358ci、TASKalfa 308ci、TASKalfa 406ci、TASKalfa 356ci、TASKalfa 306ci、ECOSYS M6635cidn、ECOSYS M6630cidn、ECOSYS M5525cdn、ECOSYS M5520cdw、ECOSYS M5520cdn。

黑白多功能複合機:
TASKalfa 9003i、TASKalfa 7000i、TASKalfa 9002i、TASKalfa 7002i、TASKalfa 7004ci、TASKalfa 6004ci、TASKalfa 5004ci、TASKalfa 6003i、TASKalfa 5003i、TASKalfa 6002i、TASKalfa 5002i、TASKalfa MZ4000i、TASKalfa MZ3200i、TASKalfa 4012i、TASKalfa 3212i、TASKalfa 3511i、TASKalfa 3011i、ECOSYS M4132idn、ECOSYS M4125idn、TASKalfa 2321、TASKalfa 2201、TASKalfa 2200、TASKalfa 1801、TASKalfa 1800、ECOSYS M2540dn、ECOSYS M2635dn、ECOSYS M3860idn、ECOSYS M3660idn、ECOSYS M3645idn。

彩色雷射印表機:
ECOSYS P8060cdn、ECOSYS P7240cdn、ECOSYS P6235cdn、ECOSYS P6230cdn、ECOSYS P5025cdn、ECOSYS P5020cdw、ECOSYS P5020cdn。

黑白雷射印表機:
ECOSYS P4060dn、ECOSYS P3260dn、ECOSYS P3155dn、ECOSYS P3150dn、ECOSYS P3145dn、ECOSYS P3060dn、ECOSYS P3055dn、ECOSYS P3050dn、ECOSYS P3045dn、ECOSYS P4145dn、ECOSYS P4135dn、ECOSYS P4045dn、ECOSYS P4040dn、ECOSYS P4035dn、ECOSYS P2040dn、ECOSYS P2235dn、ECOSYS P2230dn。

特別致謝

Kyocera Document Solutions 衷心感謝奧地利安全諮詢服務公司-SEC Consult的 Stefan Michlits 先生發現了此漏洞。