JVNVU#95192472
コニカミノルタ製複合機および印刷システムにおける複数の脆弱性

コニカミノルタ製複合機および印刷システムには、複数の脆弱性が存在します。

影響を受ける製品およびバージョンは広範囲に及びます。
詳しくは、開発者が提供する情報をご確認ください。

コニカミノルタ株式会社が提供する複合機および印刷システムには、次の複数の脆弱性が存在します。

• 不適切な認証処理 (CWE-863) - CVE-2021-20868

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

  基本値: 4.2

• 認証処理の欠如 (CWE-200) - CVE-2021-20869

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 5.3

• 例外状態の不適切な処理 (CWE-755) - CVE-2021-20870

  CVSS v3

  CVSS:3.1/AV:P/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

  基本値: 4.0

• 認証処理の欠如 (CWE-200) - CVE-2021-20871

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 5.3

• 保護メカニズムの不適切な実装 (CWE-693) - CVE-2021-20872

  CVSS v3

  CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 6.4

• 外部サーバー認証を有効にしている場合に、管理者権限を持ったユーザーからの特定のSOAPメッセージにより、設定されているユーザー認証情報を取得される - CVE-2021-20868
• LDAPサーバーによる外部認証を設定している場合に、特定のSOAPメッセージにより、設定されているユーザー認証情報の一部を取得される - CVE-2021-20869
• スキャン送信がネットワークエラーで中断しスキャンジョブがタイムアウトする前にHDDを取り出すことで、残されているスキャン画像データを取得される - CVE-2021-20870
• FTP、SMB、WebDAVなど認証情報の登録が必要なスキャン宛先を複合機のアドレス帳に登録している場合に、特定のSOAPメッセージにより、登録されている認証情報を取得される - CVE-2021-20871
• ファームウェア整合性検証処理が迂回され、不正なファームウェアをインストールされる - CVE-2021-20872

アップデートする
開発者が提供する情報をもとに、対策済みファームウェアにアップデートしてください。
開発者によると、ファームウェアの適用は、リモートメンテナンスまたはカスタマーエンジニアの訪問時に順次実施されるとのことです。

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性を軽減することが可能です。

• HDD/SSDを暗号化する
• 管理者パスワードを初期設定のままにせず、推測されにくいものに変更する
• プライベートIPアドレスを設定しファイアーウォールを設置するなどして、外部からの不正なアクセスを防ぐ
• 各製品ごとに提供されているセキュリティ機能を設定する
  • 「セキュリティー設定方法について」