CVE-2023-50916 no Kyocera Device Manager permite acesso não autorizado e roubo de dados
Foi divulgada uma vulnerabilidade de segurança no produto Kyocera Device Manager, que é usado para gerenciar dispositivos Kyocera. A vulnerabilidade, rastreada como CVE-2023-50916, é um problema de path traversal que permite que um invasor intercepte e altere um caminho local apontando para o local de backup do banco de dados para um caminho UNC (convenção universal de nomenclatura).
Isso, por sua vez, faz com que o aplicativo Web tente autenticar o caminho UNC não autorizado, resultando em acesso não autorizado às contas dos clientes e roubo de dados. Além disso, dependendo da configuração do ambiente, ele pode ser explorado para realizar ataques de retransmissão NTLM.
Como a vulnerabilidade é explorada
Para explorar a vulnerabilidade, um invasor precisaria primeiro obter acesso não autorizado ao servidor que está executando o Kyocera Device Manager. Isso pode ser feito por meio de uma vulnerabilidade de segurança existente ou por meio de um ataque de phishing ou engenharia social.
Uma vez que o invasor tenha acesso ao servidor, eles podem usar a vulnerabilidade para interceptar e alterar o caminho local apontando para o local de backup do banco de dados. Para fazer isso, eles podem usar um aplicativo de exploração de vulnerabilidades ou simplesmente inserir um URL malicioso em um navegador da web.
Quando o aplicativo Web do Kyocera Device Manager tenta acessar o caminho UNC alterado, ele será redirecionado para um servidor controlado pelo invasor. O servidor do invasor pode então autenticar as credenciais do usuário e obter acesso aos dados do sistema.
Como corrigir a vulnerabilidade
A Kyocera lançou uma correção para a vulnerabilidade na versão 3.1.1213.0 do Kyocera Device Manager. Os usuários devem atualizar seus sistemas para essa versão o mais rápido possível para mitigar o risco de exploração.
Além disso, os administradores de sistemas devem implementar as seguintes medidas de segurança para ajudar a proteger seus sistemas contra ataques:
Habilite a política de segurança "Restringir NTLM: tráfego NTLM de saída para servidores remotos". Isso impedirá que os invasores usem a vulnerabilidade para realizar ataques de retransmissão NTLM.
Além da vulnerabilidade no Kyocera Device Manager, a QNAP também divulgou correções para várias outras vulnerabilidades em seus produtos. Essas vulnerabilidades incluem:
- CVE-2023-39296, uma vulnerabilidade de poluição de protótipo que pode permitir que invasores remotos façam com que o sistema trave.
- CVE-2023-47559, uma vulnerabilidade de script entre sites (XSS) no QuMagie que pode permitir que usuários autenticados injetem código mal-intencionado.
- CVE-2023-47560, uma vulnerabilidade de injeção de comando do sistema operacional no QuMagie que pode permitir que usuários autenticados executem comandos.
- CVE-2023-41287, uma vulnerabilidade de injeção de SQL no Video Station que pode permitir que usuários injetem código mal-intencionado.
- CVE-2023-41288, uma vulnerabilidade de injeção de comando do sistema operacional no Video Station que pode permitir que usuários executem comandos.
- CVE-2022-43634, uma vulnerabilidade de execução remota de código não autenticada no Netatalk que pode permitir que invasores executem código arbitrário.
É recomendável que os usuários da QNAP atualizem seus sistemas para as versões mais recentes para mitigar os riscos potenciais associados a essas vulnerabilidades.
Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.