Konica Minolta Informatie

KRITIEKE BEVEILIGINGSLEK Spring4Shell & Spring Cloud RCE

Diegem, 5 april 2022

Konica Minolta is op de hoogte gebracht van twee kritieke kwetsbaarheden met de hoogste risicoclassificatie die mogelijk bepaalde applicaties en services getroffen hebben. 

Het gaat om de kwetsbaarheden voor code-uitvoering op afstand Spring4Shell - Spring Core RCE (CVE-2022-22965) en Spring Cloud RCE (CVE- 2022-22963).

Spring4Shell
CVE-2022-22965 (Spring4Shell) is gevonden in het Spring Core Framework en werd eind maart van 2022 waargenomen en bevestigd. Het Spring Framework is een open-source applicatie framework dat wordt gebruikt voor de ontwikkeling van Java-gebaseerde toepassingen en dat in wezen bedoeld is om ontwikkelaars te helpen sneller applicaties te bouwen. Als deze kwetsbaarheid wordt uitgebuit, kan dit aanvallen met code-uitvoering op afstand mogelijk maken. Op dit moment lijkt het zich grotendeels in de proof-of-conceptfase te bevinden voor specifieke implementaties van het Spring Framework.

Spring Cloud RCE
CVE-2022-22963 (Spring Cloud RCE) is ook waargenomen en bevestigd eind maart 2022 en heeft invloed op de Spring Cloud Functie versie 3.1.6, 3.2.2 en oudere niet-ondersteunde versies. Bij het gebruik van de routeringsfunctionaliteit is het mogelijk voor een gebruiker om een speciaal aangemaakte SpEL op te geven als een routing-expressie die kan resulteren in het op afstand uitvoeren van code en toegang tot lokale bronnen.

Aangezien we ons nog in een vroeg stadium bevinden, hebben wij nog geen complete lijst met getroffen applicaties/services van Konica Minolta voor u. Wij zijn momenteel aan het evalueren welke versies van welke aangeboden applicaties getroffen zijn en zo ja, hoe de kwetsbaarheid verholpen kan worden.  

Voor Konica Minolta is de beveiliging van onze apparaten, applicaties en services van het grootste belang. We werken met de hoogste prioriteit en snelheid aan een oplossing voor dit probleem.

Indien u vragen heeft over specifieke producten, kan u contact opnemen met support via eCommerce of via info@konicaminolta.be. Van zodra er meer informatie beschikbaar is, kan u hier een update vinden.

Een lijst van zeker NIET geïmpacteerde systemen & applicaties (Er wordt nog verder onderzocht // laatste update - 27 april 2022):

Services 
•    Bizhub Evolution/Workplace Pure 
•    Konica Minolta/EveryonePrint Cloudprint  
•    Konica Minolta Remote Support 
•    CS Remote Care 
•    Remote Service Platform (RSP) 
•    Marketplace/apps 
•    Solar Winds MSP 
•    Remote Monitoring Opsramp 
•    Managed Firewall Service 
•    Managed Backup Service 

Solutions 
•    Accurio Pro Flux 
•    Ysoft SafeQ 4 en SafeQ 5 
•    PageScope Enterprise Suite 
•    Fleet RMM 
•    EveryonePrint Mobile 
•    EOP HCP 
•    Dispatcher Phoenix 
•    Document Navigator 
•    Pcounter 
•    Bizhub Remote Panel 
•    Dokoni Find 
•    M-files 
•    Equitrac 
•    Autostore 
•    Papercut 
•    PlanetPress 
•    OL Connect 
•    Remote Deployment tool (RDT) 
•    CSRC DCA 
•    Bens Server 
•    Printfleet 
•    Job Centro 
•    Color Centro 

Hardware 
•    Konica Minolta A4 and A3 Office products (MFPs) 
•    Konica Minolta printers 
•    Konica Minolta Production Printing products, including Konica Minolta controllers 
•    EFI Fiery controllers 
•    Creo controllers 
•    Bens G4