Sin embargo, mientras realizaba pruebas de penetración, un investigador de Trustwave pudo interceptar y modificar la solicitud de acceso utilizando un proxy de interceptación web (Burp suite) o enviando la solicitud directamente al punto final de la aplicación. Esto permitió establecer rutas UNC como ubicaciones de respaldo.
“Ola de confianza SpiderLab El especialista técnico senior, Jordan Hedges, descubrió una validación de entrada incorrecta para el parámetro «ruta» aceptado por el punto final «/backup-restore-service/config/backup-path» que maneja las solicitudes de la interfaz de usuario para establecer la ubicación de la copia de seguridad de la base de datos. Trustwave dijo en una publicación de blog. «Envió una ruta de respaldo que pasaría la validación de la interfaz de usuario y luego interceptó la solicitud del cliente después de la validación para alterar el valor del parámetro de ruta a una ruta UNC bajo su control».
Si bien no existe una solución alternativa para esta vulnerabilidad, Kyocera ha lanzado una actualización de seguridad con un parche que implementa una función de validación, que si una ruta se cambia a una ruta no válida, la ruta no válida se ignora y se sigue aplicando la ruta válida original.
Los dispositivos afectados incluyen aquellos que ejecutan la última versión sin parches del Administrador de dispositivos de Kyocera que admite la instalación en Windows Server 2012/2016/2019/2022 y Windows 10 y Windows 11.
Los intentos de autenticación UNC pueden permitir la retransmisión de credenciales
Al intentar establecer la ruta UNC para la ubicación de la copia de seguridad, el administrador de dispositivos inicia la autenticación del recurso compartido a través de protocolos NTLM (NT LAN Manager) que, dependiendo de una determinada configuración del sistema, permiten la fuga de credenciales.
La fuga de credenciales aquí se refiere a la captura o retransmisión de credenciales hash de Active Directory si la política de seguridad «Restringir NTLM: tráfico NTLM saliente a servidores remotos» no está habilitada, según la publicación.