Se ha revelado una falla de seguridad en el producto Device Manager de Kyocera que podría ser explotada por actores malintencionados para llevar a cabo actividades maliciosas en los sistemas afectados.
Según Trustwave, «esta vulnerabilidad permite a los atacantes forzar intentos de autenticación a sus propios recursos, como un recurso SMB malicioso, para capturar o transmitir credenciales hash del directorio activo si no se habilita la política de seguridad ‘Restringir tráfico NTLM saliente a servidores remotos'».
Kyocera, en un aviso publicado a finales del mes pasado identificado como CVE-2023-50916, describió esta falla como un problema de recorrido de ruta que permite a un atacante interceptar y alterar una ruta local que apunta a la ubicación de la copia de seguridad de la base de datos a una convención de nomenclatura universal (UNC). Esto, a su vez, hace que la aplicación web intente autenticar la ruta UNC falsa, lo que resulta en acceso no autorizado a las cuentas de los clientes y robo de datos. Además, dependiendo de la configuración del entorno, podría ser explotado para llevar a cabo ataques de retransmisión NTLM.
Esta deficiencia ha sido abordada en Kyocera Device Manager versión 3.1.1213.0.
Por su parte, QNAP lanzó correcciones para varias fallas, incluidas vulnerabilidades de alta gravedad que afectan a QTS y QuTS hero, QuMagie, Netatalk y Video Station.
Esto incluye CVE-2023-39296, una vulnerabilidad de contaminación de prototipos que podría permitir a atacantes remotos «sobrescribir atributos existentes con aquellos que tienen un tipo incompatible, lo que puede hacer que el sistema se bloquee». Esta falla ha sido corregida en las versiones QTS 5.1.3.2578 build 20231110 y QuTS hero h5.1.3.2578 build 20231110.
Una descripción breve de las otras fallas importantes es la siguiente:
– CVE-2023-47559 – Una vulnerabilidad de scripting entre sitios (XSS) en QuMagie que podría permitir a usuarios autenticados inyectar código malicioso a través de la red (solucionado en QuMagie 2.2.1 y versiones posteriores).
– CVE-2023-47560 – Una vulnerabilidad de inyección de comandos del sistema operativo en QuMagie que podría permitir a usuarios autenticados ejecutar comandos a través de la red (solucionado en QuMagie 2.2.1 y versiones posteriores).
– CVE-2023-41287 – Una vulnerabilidad de inyección de SQL en Video Station que podría permitir a usuarios inyectar código malicioso a través de la red (solucionado en Video Station 5.7.2 y versiones posteriores).
– CVE-2023-41288 – Una vulnerabilidad de inyección de comandos del sistema operativo en Video Station que podría permitir a los usuarios ejecutar comandos a través de la red (solucionado en Video Station 5.7.2 y versiones posteriores).
– CVE-2022-43634 – Una vulnerabilidad de ejecución remota de código no autenticada en Netatalk que podría permitir a los atacantes ejecutar código arbitrario (solucionado en QTS 5.1.3.2578 build 20231110 y QuTS hero h5.1.3.2578 build 20231110).
Aunque no hay evidencia de que estas fallas hayan sido explotadas en la naturaleza, se recomienda a los usuarios que tomen medidas para actualizar sus instalaciones a la última versión para mitigar riesgos potenciales.
