Konica Minolta Information

VIOLATIONS CRITIQUE DE LA SÉCURITÉ Spring4Shell & Spring Cloud RCE

Diegem, 5 avril 2022

Konica Minolta a été informé de deux vulnérabilités critiques avec le plus haut niveau de risque qui peuvent affecter certaines applications et services.

Il s'agit des vulnérabilités d'exécution de code à distance Spring4Shell - Spring Core RCE (CVE-2022-22965) et Spring Cloud RCE (CVE- 2022-22963).

Spring4Shell
CVE-2022-22965 (Spring4Shell) a été trouvé dans le Framework Spring Core et a été observé et confirmé à la fin du mois de mars 2022. Le Spring Framework est un cadre d'application open-source utilisé pour le développement d'applications basées sur Java. Il est essentiellement destiné à aider les développeurs à créer des applications plus rapidement.  Si elle est exploitée, cette vulnérabilité pourrait permettre des attaques par exécution de code à distance. Mais il semble qu’elle ne soit pour le moment qu’en phase de validation de concept pour des implémentations spécifiques du Spring Framework.

Spring Cloud RCE
CVE-2022-22963 (Spring Cloud RCE) a également été observé et confirmé fin mars 2022 et affecte la fonction Spring Cloud version 3.1.6, 3.2.2 et les anciennes versions non supportées. Lors de l'utilisation de la fonctionnalité de routage, il est possible pour un utilisateur de fournir un SpEL spécialement conçu comme expression de routage, ce qui peut entraîner l'exécution de code à distance et l'accès aux ressources locales.
 
Comme nous n'en sommes qu'au début, nous ne disposons pas encore d'une liste complète des applications/services Konica Minolta concernés. Nous évaluons actuellement quelles versions de quelles applications sont affectées et, le cas échéant, comment remédier à cette vulnérabilité.
 
Pour Konica Minolta, la sécurité de nos appareils, applications et services est de la plus haute importance. Nous nous efforçons de résoudre ce problème avec la plus grande priorité et rapidité.
 
Si vous avez des questions sur des produits spécifiques, veuillez contacter l'assistance via eCommerce ou à l'adresse info@konicaminolta.be. Dès que des informations supplémentaires seront disponibles, vous trouverez une mise à jour ici.

Non affecté (27/04/2022):

Services 
•    Bizhub Evolution/Workplace Pure 
•    Konica Minolta/EveryonePrint Cloudprint  
•    Konica Minolta Remote Support 
•    CS Remote Care 
•    Remote Service Platform (RSP) 
•    Marketplace/apps 
•    Solar Winds MSP 
•    Remote Monitoring Opsramp 
•    Managed Firewall Service 
•    Managed Backup Service 

Solutions 
•    Accurio Pro Flux 
•    Ysoft SafeQ 4 en SafeQ 5 
•    PageScope Enterprise Suite 
•    Fleet RMM 
•    EveryonePrint Mobile 
•    EOP HCP 
•    Dispatcher Phoenix 
•    Document Navigator 
•    Pcounter 
•    Bizhub Remote Panel 
•    Dokoni Find 
•    M-files 
•    Equitrac 
•    Autostore 
•    Papercut 
•    PlanetPress 
•    OL Connect 
•    Remote Deployment tool (RDT) 
•    CSRC DCA 
•    Bens Server 
•    Printfleet 
•    Job Centro 
•    Color Centro 

Hardware 
•    Konica Minolta A4 and A3 Office products (MFPs) 
•    Konica Minolta printers 
•    Konica Minolta Production Printing products, including Konica Minolta controllers 
•    EFI Fiery controllers 
•    Creo controllers 
•    Bens G4