มีรายงานช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ Device Manager ของ Kyocera ซึ่งอาจถูกนำมาใช้โดยผู้ไม่หวังดีเพื่อดำเนินกิจกรรมที่เป็นอันตรายบนระบบที่มีช่องโหว่
ช่องโหว่นี้ทำให้ผู้โจมตีสามารถใช้งาน SMB share เพื่อส่งข้อมูล hashed credentials ของ Active Directory หากไม่ได้มีการเปิดใช้งาน Policy "Restrict NTLM: Outgoing NTLM traffic to remote servers"
ช่องโหว่มีหมายเลข CVE-2023-50916 โดยคำแนะนำจาก Kyocera ที่เผยแพร่เมื่อปลายเดือนที่แล้วระบุว่า เป็นช่องโหว่ path traversal ที่ช่วยให้ผู้โจมตีสามารถดักจับ และเปลี่ยนแปลงเส้นทางในเครื่องที่ชี้ไปยังตำแหน่งสำรองของฐานข้อมูล ตามรูปแบบ universal naming convention (UNC) ซึ่งจะทำให้เว็บแอปพลิเคชันพยายาม authenticate กับ UNC path ปลอม ส่งผลให้เกิดการเข้าถึงบัญชีของลูกค้า และการโจรกรรมข้อมูลโดยไม่ได้รับอนุญาต ขึ้นอยู่กับการกำหนดค่าที่อาจถูกนำไปใช้ในการโจมตีแบบ NTLM relay attacks
ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วใน Kyocera Device Manager เวอร์ชัน 3.1.1213.0
QNAP เผยแพร่การแก้ไขช่องโหว่หลายรายการ
รายงานดังกล่าวเกิดขึ้นหลังจากที่ QNAP เปิดตัวแพตซ์แก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ QTS และ QuTS hero, QuMagie, Netatalk และ Video Station
ช่องโหว่หมายเลข CVE-2023-39296 ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอก override แอตทริบิวต์ที่มีอยู่ด้วย incompatible แอตทริบิวต์ ซึ่งอาจทำให้ระบบล่มได้
ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในเวอร์ชัน QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110
คำอธิบายของช่องโหว่อื่น ๆ ที่มีดังนี้
CVE-2023-47559 - ช่องโหว่ cross-site scripting (XSS) ใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-47560 - ช่องโหว่การแทรกคำสั่งของระบบปฏิบัติการใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-41287 - ช่องโหว่ SQL injection ใน Video Station ที่อาจทำให้ผู้ใช้สามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2023-41288 - ช่องโหว่ command injection ของระบบปฏิบัติการใน Video Station ที่อาจทำให้ผู้ใช้สามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2022-43634 - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนใน Netatalk ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้โดยที่ไม่ได้รับอนุญาต (สำหรับ QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110)
แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตี แต่แนะนำให้ผู้ใช้งานดำเนินการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น
ที่มา : thehackernews