Ein Sicherheitsfehler wurde im Kyocera Device Manager entdeckt, der von böswilligen Akteuren ausgenutzt werden kann, um auf betroffenen Systemen schädliche Aktivitäten durchzuführen. Durch diese Schwachstelle können Angreifer Authentifizierungsversuche zu eigenen Ressourcen zwingen, wie zum Beispiel einem bösartigen SMB-Share, um gehashte Zugangsdaten für das Active Directory abzufangen oder weiterzuleiten, wenn die Sicherheitsrichtlinie „Einschränkung von NTLM: Ausgehender NTLM-Traffic zu Remote-Servern“ nicht aktiviert ist.
Die Schwachstelle mit der Bezeichung ${match} wurde von Kyocera als Problem des Pfadmanagements beschrieben, das es einem Angreifer ermöglicht, einen lokalen Pfad, der auf den Backup-Speicherort der Datenbank zeigt, auf einen UNC-Pfad (Universal Naming Convention) umzuleiten.
Dadurch versucht die Webanwendung, den betrügerischen UNC-Pfad zu authentifizieren, was zu unbefugtem Zugriff auf Benutzerkonten und Datenverlust führt. Je nach Konfiguration der Umgebung könnte diese Schwachstelle auch für NTLM-Weiterleitungsangriffe ausgenutzt werden.
Das Problem wurde in der Version 3.1.1213.0 des Kyocera Device Managers behoben.
Gleichzeitig hat QNAP Patches für mehrere Schwachstellen veröffentlicht, darunter hochgradige Sicherheitslücken, die QTS und QuTS hero, QuMagie, Netatalk und Video Station betreffen. Eine dieser Schwachstellen ist ${match}, eine Verwundbarkeit durch Prototypenanfälligkeit, die es entfernten Angreifern ermöglichen könnte, „vorhandene Attribute durch solche mit einem inkompatiblen Typ zu überschreiben, was zum Absturz des Systems führen kann“.
Dieses Problem wurde in den Versionen QTS 5.1.3.2578 Build 20231110 und QuTS hero h5.1.3.2578 Build 20231110 behoben.
Eine kurze Beschreibung der anderen bemerkenswerten Schwachstellen lautet wie folgt:
– ${match}: Eine plattformübergreifende Skripting-Verwundbarkeit (XSS) in QuMagie, die es authentifizierten Benutzern ermöglichen könnte, über ein Netzwerk bösartigen Code einzuschleusen (behandelt in QuMagie 2.2.1 und später).
– ${match}: Eine Betriebssystem-Befehlseinjektions-Verwundbarkeit in QuMagie, die es authentifizierten Benutzern ermöglichen könnte, über ein Netzwerk Befehle auszuführen (behandelt in QuMagie 2.2.1 und später).
– ${match}: Eine SQL-Injektions-Verwundbarkeit in Video Station, die es Benutzern ermöglichen könnte, über ein Netzwerk bösartigen Code einzufügen (behandelt in Video Station 5.7.2 und später).
– ${match}: Eine Betriebssystem-Befehlseinjektions-Verwundbarkeit in Video Station, die es Benutzern ermöglichen könnte, über ein Netzwerk Befehle auszuführen (behandelt in Video Station 5.7.2 und später).
– ${match}: Eine nicht authentifizierte Remote-Code-Ausführungs-Verwundbarkeit in Netatalk, die Angreifern die Ausführung beliebigen Codes ermöglichen könnte (behandelt in QTS 5.1.3.2578 Build 20231110 und QuTS hero h5.1.3.2578 Build 20231110).
Obwohl keine Beweise dafür vorliegen, dass diese Schwachstellen bereits ausgenutzt wurden, wird Benutzern empfohlen, ihre Installationen auf die neueste Version zu aktualisieren, um potenzielle Risiken zu mindern.