LUKI W ZABEZPIECZENIACH WPŁYWAJĄCE NA POŁĄCZENIE SIECIOWE

Szanowni Państwo,

Głęboko doceniamy Twój stały patronat nad produktami Develop.

We wskazanych modelach zidentyfikowano na nowo dwie podatności.

Niniejszy poradnik zawiera ogólne informacje na temat tego problemu oraz zalecanych środków zaradczych.

Należy pamiętać, że w momencie publikacji (30 czerwca 2025 r.) na  całym świecie nie było żadnych potwierdzonych incydentów bezpieczeństwa wynikających z wykorzystania tych luk.

Przegląd luk w zabezpieczeniach

Nr kat. IDCVSSv3.1Wynik podstawowyEPSS*Opis luk w zabezpieczeniach
CVE-2025-5884CVSS:3.1/AV:N/AC:L/PR:L/
UI:R/S:U/C:N/I:L/A:N
3.50.03%Luka w zabezpieczeniach umożliwiająca atakowanie skryptów między witrynami (CWE94, CWE-79) została odkryta w określonych polach wejściowych Web Connection.
CVE-2025-5885CVSS:3.1/AV:N/AC:L/PR:N/
UI:R/S:U/C:N/I:L/A:N
4.30.02%Odkryto lukę w zabezpieczeniach umożliwiającą fałszowanie żądań między witrynami (CWE-352, CWE-862) w Web Connection.

*EPSS: Prawdopodobieństwo wystąpienia działań związanych z eksploatacją w ciągu najbliższych 30 dni

Modele, których dotyczy problem

Nazwa produktuWersja, której dotyczy problem
Ineo+ 759/+659
ineo+ 658/+558/+458
ineo+ 368/+308/+258
ineo+ 287/+227
ineo+ 3851/+3851FS/+3351
ineo 958/808/758
ineo 658e/558e/458e
ineo 368e/308e
ineo 558/458/368/308
ineo 367/287/227
ineo 4752/4052
Wszystkie wersje

Wpływ na drukarki wielofunkcyjne

  • CVE-2025-5884:
    W przeglądarce internetowej użytkownika uzyskującego dostęp do połączenia internetowego może zostać wykonany dowolny skrypt.
  • CVE-2025-5885:
    Istnieje możliwość, że konfiguracja produktu może zostać przypadkowo zmieniona lub może zostać wykonana niezamierzona operacja.

Zalecenie dotyczące luk w zabezpieczeniach

Jeśli to możliwe, całkowicie wyłącz połączenie internetowe. W związku z tym luka w zabezpieczeniach nie będzie możliwa do wykorzystania. Alternatywnie prosimy o zapoznanie się z naszymi ogólnymi zaleceniami.

Ogólne zalecenia dotyczące zabezpieczeń

Aby zapewnić bezpieczeństwo działania urządzeń wielofunkcyjnych i zmniejszyć narażenie na luki w zabezpieczeniach opisane w niniejszym poradniku, firma Develop zdecydowanie zaleca stosowanie następujących sprawdzonych metod konfiguracji:

  1. Unikaj bezpośredniego kontaktu z Internetem
    Umieść urządzenia za zaporami sieciowymi i użyj ustawień prywatnego adresowania IP i filtrowania adresów IP urządzeń.
  2. Zmień domyślne hasła
    Zmień domyślne poświadczenia i zaimplementuj silne hasła do funkcji administracyjnych i sieciowych.
  3. Używaj silnych haseł do usług
    Upewnij się, że skonfigurowano silne poświadczenia dla protokołów SMTP, LDAP, SMB, WebDAV i innych zintegrowanych usług.
  4. Wyłącz nieużywane usługi
    Wyłącz nieużywane porty lub protokoły, aby zmniejszyć obszar ataku.
  5. Korzystaj z bezpiecznych protokołów
    Skonfiguruj urządzenia do korzystania z szyfrowanej komunikacji (np. HTTPS, LDAPS, IPPS), jeśli jest to obsługiwane.
  6. Monitoruj aktywność urządzenia
    Regularnie przeglądaj dzienniki urządzeń i ruch sieciowy pod kątem podejrzanych zachowań.
  7. Włącz uwierzytelnianie, jeśli jest dostępne
    Korzystaj z wbudowanych funkcji uwierzytelniania użytkowników, aby zapobiec nieautoryzowanemu dostępowi do funkcji urządzenia.

Aby uzyskać wyczerpujące informacje na temat bezpiecznej konfiguracji, zapoznaj się z naszą witryną internetową poświęconą bezpieczeństwu produktów.
https://www.konicaminolta.com/global-en/security/mfp/setting/index.html

Zwiększanie bezpieczeństwa produktów i usług

Firma develop uważa bezpieczeństwo swoich produktów i usług za ważną odpowiedzialność i będzie nadal aktywnie reagować na incydenty i luki w zabezpieczeniach.
https://www.konicaminolta.com/about/csr/social/customers/enhanced_security.html

Powiązane informacje
https://nvd.nist.gov/vuln/detail/CVE-2025-5884
https://nvd.nist.gov/vuln/detail/CVE-2025-5885

Potwierdzenia

Chcielibyśmy wyrazić nasze szczere uznanie dla zespołu VulDB CNA za wykrycie i odpowiedzialne zgłoszenie tej luki.

Kontakt

Jeśli potrzebujesz dalszych wyjaśnień lub pomocy we wdrożeniu zalecanych środków lub zastosowaniu odpowiedniej aktualizacji oprogramowania układowego, skontaktuj się z autoryzowanym przedstawicielem serwisu Develop.