Nieuwe kwetsbaarheden ontdekt in QNAP en Kyocera Device Manager

Cyberbeveiliging
QNAP and Kyocera Device Manager

Er is een beveiligingsfout onthuld in Kyocera’s Device Manager-product dat door kwaadwillenden kan worden uitgebuit om kwaadaardige activiteiten uit te voeren op getroffen systemen.

“Deze kwetsbaarheid stelt aanvallers in staat authenticatiepogingen op hun eigen bronnen, zoals een kwaadaardige SMB-share, af te dwingen om gehashte Active Directory-inloggegevens vast te leggen of door te geven als het beveiligingsbeleid ‘NTLM beperken: uitgaand NTLM-verkeer naar externe servers’ niet is ingeschakeld”, aldus Trustwave. gezegd.

Bijgehouden als CVE-2023-50916Kyocera beschreef het in een advies dat eind vorige maand werd uitgebracht als een probleem met het doorlopen van paden waarmee een aanvaller een lokaal pad dat naar de back-uplocatie van de database verwijst, kan onderscheppen en wijzigen in een UNC-pad (Universal Naming Convention).

Dit zorgt er op zijn beurt voor dat de webapplicatie probeert het frauduleuze UNC-pad te authenticeren, wat resulteert in ongeautoriseerde toegang tot de accounts van klanten en gegevensdiefstal. Bovendien kan het, afhankelijk van de configuratie van de omgeving, worden misbruikt om NTLM-relay-aanvallen uit te voeren.

De tekortkoming is verholpen in Kyocera Device Manager versie 3.1.1213.0.

QNAP brengt oplossingen uit voor verschillende fouten

De ontwikkeling komt op het moment dat QNAP oplossingen heeft uitgebracht voor verschillende fouten, waaronder zeer ernstige kwetsbaarheden die een impact hebben op QTS en QuTS hero, QuMagie, Netatalk en Video Station.

Dit omvat CVE-2023-39296, een prototype van een kwetsbaarheid voor vervuiling waarmee aanvallers op afstand “bestaande attributen kunnen overschrijven door attributen van een incompatibel type, waardoor het systeem kan crashen.”

De tekortkoming is verholpen in versies QTS 5.1.3.2578 build 20231110 en QuTS hero h5.1.3.2578 build 20231110.

Een korte beschrijving van de andere opmerkelijke tekortkomingen is als volgt:

  • CVE-2023-47559 – Een cross-site scripting (XSS) kwetsbaarheid in QuMagie waardoor geverifieerde gebruikers kwaadaardige code via een netwerk kunnen injecteren (opgelost in QuMagie 2.2.1 en hoger)
  • CVE-2023-47560 – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem in QuMagie waardoor geverifieerde gebruikers opdrachten via een netwerk kunnen uitvoeren (opgelost in QuMagie 2.2.1 en hoger)
  • CVE-2023-41287 – Een kwetsbaarheid voor SQL-injectie in Video Station waardoor gebruikers kwaadaardige code kunnen injecteren via een netwerk (opgelost in Video Station 5.7.2 en hoger)
  • CVE-2023-41288 – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem in Video Station waardoor gebruikers opdrachten kunnen uitvoeren via een netwerk (opgelost in Video Station 5.7.2 en hoger)
  • CVE-2022-43634 – Een niet-geverifieerde kwetsbaarheid bij het uitvoeren van externe code in Netatalk waardoor aanvallers willekeurige code kunnen uitvoeren (aangepakt in QTS 5.1.3.2578 build 20231110 en QuTS hero h5.1.3.2578 build 20231110)

Hoewel er geen bewijs is dat de fouten in het wild zijn uitgebuit, wordt gebruikers aangeraden stappen te ondernemen om hun installaties bij te werken naar de nieuwste versie om potentiĆ«le risico’s te beperken.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

XREAL Air 2 Ultra AR-bril biedt volledige ruimtelijke computerfuncties

Apple’s Genative AI-update zou kunnen komen met iOS 18 en iPhone 16

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]