お知らせ
東芝テック製デジタル複合機の脆弱性対応について
2024年6月14日
東芝テック株式会社
平素は当社製品をご愛用いただきまして誠にありがとうございます。
このたび、当社製デジタル複合機の一部製品において、脆弱性問題が確認されました。なお、本問題で製品内の機密情報が外部に流出するなどの問題は発生していません。
脆弱性の内容
対象製品:対象製品一覧表(PDF版157KB)
- 脆弱性タイプ:XXEインジェクションの脆弱性(CWE-776)
一部のAPI(アプリケーション・プログラム・インターフェイス)で、認証無しに複合機にHTTPリクエストを送信することが可能で、動作を止められる(DoS)。
脆弱性識別番号:CVE-2024-27141, CVE-2024-27142 - 脆弱性タイプ:不要な権限での実行に関する脆弱性(CWE-250)
一部のプログラムがルート権限で動作しているため、特定の手段でプログラムを乗っ取られた場合、複合機で任意のコードを実行できる。
脆弱性識別番号:CVE-2024-27143, CVE-2024-27146, CVE-2024-27147 - 脆弱性タイプ: 不適切な権限設定の脆弱性(CWE-276)
一部のプログラムの権限設定が適切でないため、特定の手段でルート権限を乗っ取られた場合、複合機で任意のコードを実行できる。
脆弱性識別番号:CVE-2024-27148, CVE-2024-27149, CVE-2024-27150, CVE-2024-27151, CVE-2024-27152, CVE-2024-27153, CVE-2024-27155, CVE-2024-27167, CVE-2024-27171 - 脆弱性タイプ:ディレクトリトラバーサルの脆弱性(CWE-22)
Web管理プログラム(TopAccess)において、任意のファイルを複合機内に配置出来る。
脆弱性識別番号:CVE-2024-27144, CVE-2024-7145, CVE-2024-27173, CVE-2024-27174, CVE-2024-27176, CVE-2024-27177, CVE-2024-27178 - 脆弱性タイプ:重要な情報のログ保存に関する脆弱性(CWE-532)
一部の認証情報がログファイルに書き込まれているため、外部との通信を偽装することで、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27154, CVE-2024-27156, CVE-2024-27157 - 脆弱性タイプ:重要な情報の平文保存に関する脆弱性 (CWE-256)
一部の情報が暗号化されずに保存されているため、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27166 - 脆弱性タイプ:重要な情報のデバッグログ保存に関する脆弱性 (CWE-1295)
デバッグ用のログファイル内に重要な情報を含むため、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27179 - 脆弱性タイプ:機器共通の認証情報が設定されている問題 (CWE-1392)
複合機の内部プログラム同士のアクセスに共通の認証情報が含まれるため、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27158 - 脆弱性タイプ:ハードコードされた認証情報の使用に関する脆弱性 (CWE-798)
複合機の内部プログラム同士の認証情報の一部がプログラムに直接書き込まれているため、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27159, CVE-2024-27160, CVE-2024-27161, CVE-2024-27168, CVE-2024-27170 - 脆弱性タイプ:ハードコードされたパスワードの使用に関する脆弱性 (CWE-259)
複合機の内部プログラム同士の認証パスワードの一部がプログラムに直接書き込まれているため、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27164 - 脆弱性タイプ:クロスサイトスクリプティングの脆弱性 (CWE-79)
Web管理プログラム(TopAccess)において、クロスサイトスクリプティングの脆弱性があり、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27162 - 脆弱性タイプ:重要な情報の平文送信に関する脆弱性 (CWE-319)
複合機の内部プログラム同士の通信の一部が暗号化されていないため、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27163 - 脆弱性タイプ:権限昇格の脆弱性 (CWE-272)
複合機の内部プログラムコードの一部に脆弱性のあるコードセットを使っており、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27165 - 脆弱性タイプ:認証の欠如に関する脆弱性 (CWE-306)
複合機の内部プログラムの一部APIは権限無しでアクセスできる方法があるため、複合機にアクセス可能な第三者に情報を盗まれる。
脆弱性識別番号:CVE-2024-27169 - 脆弱性タイプ:OSコマンドインジェクションの脆弱性 (CWE-78)
複合機の内部プログラムの一部APIは権限無しでアクセスできる方法があるため、複合機で任意のコードを実行できる。
脆弱性識別番号:CVE-2024-27172 - 脆弱性タイプ:ローカルファイルインクルージョンの脆弱性 (CWE-73)
複合機の内部プログラムの一部APIは、ファイル名の入力をチェックしていないため、任意のファイルを複合機内に配置出来る。
脆弱性識別番号:CVE-2024-27175 - 脆弱性タイプ:Time-of-check Time-of-use (TOCTOU) 競合状態の脆弱性 (CWE-367)
複合機にアプリケーションを組み込むための暗号鍵が一時的に置き換え可能な状態になるため、複合機内の情報を改ざんできる。
脆弱性識別番号:CVE-2024-27180 - 脆弱性タイプ:認証機能のバイパスの脆弱性(CWE-288)
ユーザ認証機能無効時、複合機のシステム情報へのアクセスやドライバアップロードするためのWebページに対する管理者認証プロセスをバイパスできる。
脆弱性識別番号:CVE-2024-3496 - 脆弱性タイプ:パス・トラバーサルの脆弱性(CWE-23)
複合機にディレクトリトラバーサルの脆弱性があり、ユーザ認証が無効の場合、複合機のファイルの上書きや新規ファイルの配置ができる。
脆弱性識別番号:CVE-2024-3497 - 脆弱性タイプ:不要な権限での実行に関する脆弱性(CW-250)
ユーザ認証が無効の場合、複合機のWebインタフェースからサービスを有効にすることで悪意のあるファイルを実行することができ、その権限をrootに昇格することができる。
脆弱性識別番号:CVE-2024-3498
- 解決方法
- サービス実施店より本体ソフトウェアのバージョンアップをご案内します。
- 回避方法
- インターネット接続を行う場合、取扱説明書にある通りファイアウォール経由で保護されたネットワークに接続ください。また、ユーザ認証を有効とし、パスワードなどを適切に管理いただくようお願いします。
謝辞:本脆弱性問題は、Pierre Barre様(CVE-2024-27141~CVE-2024-27180)、およびZDI (Zero Day Initiative)参加メンバーのZhenhua Huang様、Harry Zhang様、Minmin様(CVE-2024-3496~CVE-2024-3498)からご報告をいただきました。この報告により問題対策を進められたことを感謝申し上げます。