Kyocera soluciona una vulnerabilidad en su software de administración de dispositivos

El proveedor de software y dispositivos de impresoras multifunción Kyocera ha parcheado una vulnerabilidad de recorrido de ruta en su herramienta de administración de dispositivos basada en web utilizada para administrar grandes flotas de impresoras en medianas y grandes empresas, según Trustwave.

Registrada como CVE-2023-50916, la vulnerabilidad permite a los atacantes interceptar el acceso y cambiar la ruta local, configurada en la aplicación web como ubicación de respaldo, a otra de Convención Nomenclatura Universal (UNC, de sus siglas inglesas). Mientras que una ruta local se refiere a la ubicación de un archivo en el sistema local de un ordenador específico, la UNC da la ubicación de un recurso compartido en red.

“Al recibir la ruta UNC, intentaremos confirmar el acceso y la autentificación, que los atacantes podrían aprovechar”, han dicho desde la compañía en una actualización de seguridad. El ciberdelincuente debe estar en la misma red que Kyocera Device Manager para aprovechar el error.

Este software es muy popular en Estados Unidos. Sin embargo, en España, tal y como comentan a CSO fuentes internas de la compañía, la incidencia no tiene prácticamente significación, y todos los clientes que cuentan con la herramienta ya han actualizado las respectivas versiones y han estado en constante comunicación con la organización. 

Uso de proxy de interceptación para el recorrido de ruta

La aplicación permite a los administradores configurar la ubicación de la copia de seguridad de la base de datos utilizada. Esta rechaza el intento de cambiar esta ubicación a una ruta UNC utilizando la GUI debido al uso de barras invertidas (“\”) como ruta no permitida.

Sin embargo, mientras realizaba pruebas de pentesting, un investigador pudo interceptar y modificar la solicitud de acceso utilizando un proxy de interceptación web o enviando la solicitud directamente al endpoint de la aplicación. Esto permitió establecer rutas UNC como ubicaciones de respaldo.

Si bien no existe una solución alternativa para esta vulnerabilidad, Kyocera ha lanzado una actualización de seguridad con un parche que implementa una función de validación, que si una ruta se cambia a una ruta no válida, la ruta no válida se ignora y se sigue aplicando la ruta válida original.

Los dispositivos afectados incluyen aquellos que ejecutan la última versión sin parches del Administrador de dispositivos de Kyocera que admite la instalación en Windows Server 2012/2016/2019/2022 y Windows 10 y Windows 11.

Los intentos de autenticación UNC pueden permitir la retransmisión de credenciales

Al intentar establecer la ruta UNC para la ubicación de la copia de seguridad, el administrador de dispositivos inicia la autenticación del recurso compartido a través de protocolos NTLM (NT LAN Manager) que, dependiendo de una determinada configuración del sistema, permiten la fuga de credenciales.

La fuga de credenciales aquí se refiere a la captura o retransmisión de credenciales hash de Active Directory si la política de seguridad "Restringir NTLM: tráfico NTLM saliente a servidores remotos" no está habilitada, según la publicación.

"Una vez que se actualiza la ubicación, Kyocera Device Manager intenta confirmar el acceso e intentará autenticarse en la ruta UNC; dependiendo de la configuración del entorno, esto puede autenticarse en el recurso compartido UNC especificado con hashes NTLM de Windows", dijo Trustwave. "Esto podría permitir la retransmisión de credenciales NTLM o ataques de craqueo".

"Si el atacante obtiene con éxito la información de autenticación, puede obtener acceso no autorizado a las cuentas de los clientes, robar datos o llevar a cabo actividades maliciosas en los dispositivos de los productos Kyocera", expresa la empresa en la actualización.

Trustwave insta a los clientes de Kyocera a actualizar inmediatamente a la última versión de la aplicación de administrador de dispositivos para protegerse contra la explotación. "Como parte de la Política de divulgación coordinada de Trustwave SpiderLab, informamos de esta vulnerabilidad a Kyocera, quien la solucionó en la versión 3.1.1213.0".