当社製複合機・プリンターのセキュリティー脆弱性について
平素は当社商品をご愛顧いただき厚く御礼申し上げます。
この度、当社製複合機・プリンターの管理ツール「KYOCERA Command Center RX(以下、CCRX)」において、セキュリティー上の脆弱性が判明いたしましたので、お知らせします。
脆弱性の内容
- Path Traversalの脆弱性(CVE-2023-34259)
CCRXにはPath Traversalに脆弱性があります。Path TraversalはWebアプリケーションに対する攻撃を可能にします。ファイルパスの値を操作することで、攻撃者はソースコードや重要なシステム設定などのファイルシステムにアクセスできる可能性があります。 - Denial of Service (DoS) 攻撃に対する脆弱性(CVE-2023-34260)
Dos攻撃によってCCRXが使用できなくなる脆弱性があります。攻撃者がファイルパスの値を操作することで、CCRXが応答しなくなる可能性があります。 - User Enumerationの脆弱性(CVE-2023-34261)
攻撃者がCCRXにログインする際、何度もログインを試行することで、機器本体内のユーザーデータベースの中にログインユーザー名が存在するかを確認できる可能性があります。
脆弱性番号
脆弱性番号:JVNVU#98785541
JVNVU#98785541: 京セラドキュメントソリューションズ製複合機およびプリンターのCommand Center RX(CCRX)における複数の脆弱性
- ※JVN :"Japan Vulnerability Notes" の略。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティー対策に資することを目的とする脆弱性対策情報ポータルサイト
なお、セキュリティー脆弱性に対応したファームウェアの適用は、保守実施店にご用命ください。
③はCCRXのアカウントロック機能設定により対策可能です。
ファームウェアの適用までは、以下の回避策を講じていただけますようお願いいたします。
回避策
回避策1
外部からの不正アクセスによる情報漏洩や不正使用のリスクを低減するために、複合機をインターネットに接続する際は、ファイアウォールなどで保護された環境の中でのご利用をお願いします。これにより、インターネットを経由した外部からの不正アクセスを遮断することができます。
回避策2
複合機・プリンターのIPアドレスは、プライベートIPアドレス※を設定して運用することを推奨いたします。グローバルIPアドレスが設定されている場合、外部からの不正アクセスによる情報漏えいリスクが高まります。
- ※プライベートIPアドレス:「192.168.x.x」「172.16.x.x~172.31.x.x」「10.x.x.x.」の番号が割り当てられたIPアドレス(xは0~255)
- ■IPアドレスの確認方法(よくあるお問い合わせ)
https://faq.kyoceradocumentsolutions.co.jp/Detail.aspx?id=136
製品
カテゴリー |
対象モデル |
|||
---|---|---|---|---|
カラー複合機 |
TASKalfa 8353ci/7353ci |
|||
モノクロ複合機 |
TASKalfa 9003i/7003i |
|||
カラープリンター |
ECOSYS P8060cdn |
|||
モノクロプリンター |
ECOSYS P4060dn |
|||
プロダクションプリンター |
TASKalfa Pro 15000c |
今後、内容に変更が生じた場合は随時更新いたします。
当社ではより高度なセキュリティー機能を搭載した後継製品・新製品を開発し販売しております。また、回避策に利用頂けるセキュリティー対策商品も販売しております。お客様の情報資産を安全に保護するためにも、後継製品・新製品及びセキュリティー対策商品のご検討を賜りますようお願い申し上げます。
謝辞
京セラドキュメントソリューションズは、本脆弱性の発見者であるオーストリアのセキュリティーコンサルティングサービス会社SEC Consult(https://sec-consult.com) のMr. Stefan Michlitsに感謝申し上げます。
問い合わせ先
-
京セラドキュメントソリューションズジャパン コンタクトセンター お客様相談窓口0570-046562(ナビダイヤル)
受付時間 AM 9:00 ~ 12:00、PM 1:00 ~ 5:00 (土曜、日曜及び祝日は除く)