JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は7月27日、「JVNVU#98785541: 京セラドキュメントソリューションズ製複合機およびプリンターのCommand Center RX(CCRX)における複数の脆弱性」において、京セラドキュメントソリューションズが提供する複合機およびプリンタのWebインタフェースであるCommand Center RX(CCRX)に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって情報の窃取やサービス運用妨害(DoS: Denial of Service)攻撃をうける可能性があり注意が必要。
脆弱性に関する情報は次の開発者が提供するページにまとまっている。
確認されている脆弱性は下記の通り。
- パストラバーサル (CWE-22) - CVE-2023-34259: Webアプリケーションのファイルパスを操作することでシステムファイルへのアクセスが可能
- パストラバーサル (CWE-22) - CVE-2023-34260: DoS攻撃およびファイルパスの操作によりCCRXが応答しなくなる可能性
- セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏洩 (CWE-204) - CVE-2023-34261: リモートからログインユーザー名の有無を検証可能
JPCERT/CCは保守実施店に確認の上、上記の開発者の提供する情報に基づいてアップデートを適用することを推奨している。
アップデートを適用するまでの間、ワークアラウンドとしてファイアウォールで外部との接続を断つことや、プライベートIPアドレスで運用するなどの対策も有効だとしている。