お知らせ

東芝テック製デジタル複合機の脆弱性対応について

2024年5月31日
東芝テック株式会社

平素は当社製品をご愛用いただきまして誠にありがとうございます。
このたび、当社製デジタル複合機の一部製品において、脆弱性問題が確認されました。なお、本問題で製品内の機密情報が外部に流出するなどの問題は発生していません。

脆弱性の内容

対象製品:e-STUDIO 908/ 1058/ 1208 (本製品は、北米市場のみで導入しております)

  1. 複合機内部のWebサーバーにおいてスタックベースのバッファオーバーフローを引き起こすページが存在する
    脆弱性番号:CVE-2024-28038
  2. 複合機の一部の機密情報を含んだファイルに対する権限設定が不適切であったため、別の脆弱性を利用することで参照可能となる
    脆弱性番号:CVE-2024-28955
  3. 複合機の一部の機密情報が平文として保存されており、別の脆弱性を利用することで閲覧可能となる
    脆弱性番号:CVE-2024-29146
  4. 複合機の一部の機密情報が平文として保存されており、別の脆弱性を利用することで閲覧可能となる
    脆弱性番号:CVE-2024-29978
  5. 複合機の一部の機密情報が、別の脆弱性を利用することで復号可能となる
    脆弱性番号:CVE-2024-32151
  6. 複合機内部のWebサーバーにおいてパストラバーサル実行可能なページが存在する
    脆弱性番号:CVE-2024-33605
  7. 複合機のWebページにおいてアクセス権が適切でないページが存在する
    脆弱性番号:CVE-2024-33610
  8. 複合機の一部の機能を実行する際に、不適切な資格情報で認証を回避され、情報の参照が可能となっている
    脆弱性番号:CVE-2024-33616
  9. 複合機内部のWebサーバーにおいて保存されている資格情報を意図せず送信してしまうページが存在する ※既にデバイスを侵害して特権を得ている攻撃者によって利用される可能性がある。
    脆弱性番号:CVE-2024-34162
  10. 複合機の一部の機能を実行するための資格情報がハードコーディングされているため、不適切に資格情報を知り得た攻撃者により悪用されるおそれがある
    脆弱性番号:CVE-2024-35244
  11. 外部サイトへアクセスするための資格情報がハードコーディングされているため、不適切に資格情報を知り得た攻撃者により悪用されるおそれがある
    脆弱性番号:CVE-2024-36248
  12. 複合機内部のWebサーバーにおいてクロスサイトスクリプティング実行可能なページが存在する
    脆弱性番号:CVE-2024-36249
  13. 複合機内部のWebサーバーにおいて領域外のメモリ参照を引き起こし、ハングアップを発生させるおそれがある
    脆弱性番号:CVE-2024-36251
  14. 複合機内部のWebサーバーにおいて領域外のメモリ参照を引き起こし、ハングアップを発生させるおそれがある
    脆弱性番号:CVE-2024-36254
解決方法
サービス実施店より本体ソフトウェアのバージョンアップをご案内します。
回避方法
インターネット接続を行う場合、取扱説明書にある通りファイアウォール経由で保護されたネットワークに接続ください。また、ユーザ認証を有効とし、パスワードなどを適切に管理いただくようお願いします。

謝辞:本脆弱性問題は、
Pierre Barre氏 (CVE-2024-28038~CVE-2024-36248, CVE-2024-36251, CVE-2024-36254)
Pontus Hassen氏 security researcher at Omegapoint (CVE-2024-33610)
Morgan Davies 氏 of Cyber Security Specialists (CVE-2024-36249)
Damien BOLUS氏 – Torii Security (CVE-2024-36249)
Jarrod Stebick氏 (CVE-2024-36251, CVE-2024-36254)
からご報告をいただきました。この報告により問題対策を進められたことを感謝申し上げます。