Nhật bản, 21 tháng 7, 2023 – KYOCERA Document Solutions Inc., thông báo rằng một lỗ hổng bảo mật đã được phát hiện ra trong KYOCERA Command Center RX (sau đây được gọi là “CCRX”), nó cho phép người dùng kiểm tra và thay đổi các cài đặt khác nhau của các thiết bị đa chức năng cung cấp bởi Kyocera Document Solutions qua mạng.
Sau đây là tổng quan về sự cố và cách giải quyết. Kể từ ngày công bố thông báo này, chúng tôi chưa nhận được bất kỳ xác nhận nào về cuộc tấn công lợi dụng lỗ hổng này.
1. Lỗ hổng duyệt thư mục (Path Traversal)
CCRX có lỗ hổng Path Traversal. Path Traversal là một cuộc tấn công vào các ứng dụng web. Bằng cách thao tác giá trị của đường dẫn tệp, kẻ tấn công có thể truy cập vào hệ thống tệp, bao gồm mã nguồn và cài đặt hệ thống quan trọng.2. Tấn công từ chối dịch vụ (DoS)
Có một lỗ hổng làm cho CCRX bị tê liệt nếu có một cuộc tấn công DoS. Bằng cách thao tác giá trị của đường dẫn tệp, CCRX có thể dừng phản hồi.3. Liệt kê Người dùng
Bằng cách cố gắng đăng nhập nhiều lần, kẻ tấn công có thể nắm bắt nếu có tên người dùng đăng nhập trong cơ sở dữ liệu cho thiết bị khi đăng nhập CCRX.