Trustwaveは1月8日(米国時間)、「CVE-2023-50916: Authentication Coercion Vulnerability in Kyocera Device Manager」において、京セラドキュメントソリューションズの「Device Manager」にCVE-2023-50916で追跡される脆弱性が存在すると報じた。「Device Manager」は、同社のプリンタや多機能デバイスをネットワークから監視および管理するためのWebベースのアプリケーション。管理者は単一のユーザーインタフェースからすべてのデバイスまたは選択したデバイスの設定とアプリケーションのインストールを実行できる。
脆弱性の存在する製品と脆弱性が修正された製品のバージョン
脆弱性の存在する製品のバージョンは次のとおり。
- Kyocera Device Managerバージョン3.1.1213.0より前のバージョン
脆弱性が修正された製品のバージョンは次のとおり。
- Kyocera Device Managerバージョン3.1.1213.0およびこれ以降のバージョン
脆弱性の概要
Trustwaveによると京セラのDevice Managerにはアプリケーションで使用するデータベースのバックアップ場所を構成する機能がある。通常はこのパスにUNC(Universal Naming Convention: Windowsのネットワーク共有パス)を指定することはできない。
しかしながら、Webインターセプトプロキシを使用してこのリクエストを改ざんするか、アプリケーションエンドポイントに直接リクエストを送信することでUNCパスを設定できることが判明した。Device Managerは設定されたUNCパスの認証を試みるため、環境の構成によってはNTLM資格情報の中継、または侵害される可能性がある。
京セラは2023年12月22日、この件に関するセキュリティアップデートを公開した(参考:「Kyocera Device Manager CVE-2023-50196 Vulnerability Solution Update | Kyocera Document Solutions America」)。同社によると、同一ネットワーク上にいる攻撃者がこの脆弱性を悪用して認証情報を取得した場合、アカウントへの不正アクセス、データ窃取、同社製品端末上で悪意のある活動が可能になるとしている。
京セラは同製品を使用している顧客に対し、脆弱性の影響の有無およびアップデートの適用方法について販売店、正規販売代理店、またはサービス担当者に問い合わせるように求めている。