Sicherheitsforscher haben kritische Druckerschwachstellen in Xerox VersaLink C7025 Multifunktionsdruckern (MFPs). Diese Schwachstellen könnten Angreifern ermöglichen, Authentifizierungsdaten abzugreifen über Pass-Back-Angriffe Verwenden des Lightweight Directory Access Protocol (LDAP) und SMB/FTP-Dienste.
Übersicht der Schwachstellen
Deral Heiland, ein Sicherheitsforscher bei Rapid7, erklärte, dass diese Pass-Back-Angriffe eine Schwachstelle ausnutzen, die es einem böswilligen Akteur ermöglicht, die Konfiguration des MFP zu ändern. Infolge, Das Gerät kann so manipuliert werden, dass es Authentifizierungsdaten an den Angreifer zurücksendet.
Was ist ein Pass-Back-Angriff??
Ein Pass-Back-Angriff ist ein Cyberangriff, bei dem ein Angreifer die Konfiguration eines Systems manipuliert, um Authentifizierungsdaten auf sich selbst umzuleiten.. Dies geschieht normalerweise durch die Änderung der Netzwerkeinstellungen, so dass, wenn ein Gerät, wie ein Drucker oder Server, Versuche, sich gegenüber einem legitimen Dienst zu authentifizieren (z.B., LDAP, SMB, oder FTP), Stattdessen werden die Anmeldeinformationen an einen vom Angreifer kontrollierten Server gesendet. Einmal erfasst, Diese Anmeldeinformationen können verwendet werden, um unbefugten Zugriff auf Systeme zu erhalten, Dies kann möglicherweise eine laterale Bewegung innerhalb eines Netzwerks ermöglichen und sensible Daten und Infrastrukturen gefährden.
Heiland wies darauf hin, dass ein Angreifer, der diese Schwachstellen erfolgreich ausnutzt,, Sie könnten Windows Active Directory-Anmeldeinformationen erfassen. Dieser Zugriff würde es ihnen dann ermöglichen, sich seitlich innerhalb des Netzwerks einer Organisation zu bewegen, potenzielle Gefährdung kritischer Windows-Server und Dateisysteme.
Die identifizierten Schwachstellen, Auswirkungen auf Firmware-Versionen 57.69.91 und früher, enthalten:
– CVE-2024-12510 (CVSS-Score: 6.7) – Pass-Back-Angriff über LDAP
– CVE-2024-12511 (CVSS-Score: 7.6) – Pass-Back-Angriff über das Adressbuch des Benutzers
Auswirkungen und Ausbeutung
Die Ausbeutung von CVE-2024-12510 könnte dazu führen, dass Authentifizierungsdaten auf einen betrügerischen Server umgeleitet werden, Dadurch werden vertrauliche Informationen preisgegeben. Jedoch, Für die Ausführung dieses Angriffs muss der Angreifer Zugriff auf die LDAP-Konfigurationsseite haben und die LDAP-Authentifizierung muss aktiviert sein..
Ähnlich, CVE-2024-12511 könnte einem Angreifer ermöglichen, die Konfiguration des Benutzeradressbuchs zu ändern, um die IP-Adresse des SMB- oder FTP-Servers zu verändern. Diese Änderung würde den Authentifizierungsprozess auf einen bösartigen Server umleiten, Ermöglicht dem Angreifer, bei Dateiscanvorgängen SMB- oder FTP-Anmeldeinformationen abzugreifen.
Heiland betonte, dass für den Erfolg dieses Angriffs, Der Angreifer müsste eine SMB- oder FTP-Scan-Funktion im Adressbuch des Benutzers konfigurieren. Außerdem, Der Angreifer benötigt entweder physischen Zugriff auf die Druckerkonsole oder Fernzugriff über die Weboberfläche. In einigen Fällen, Administratorzugriff kann erforderlich sein, sofern der Benutzerzugriff auf die Fernsteuerungskonsole nicht aktiviert wurde.
Schadensbegrenzung und Patching
Nach verantwortungsvoller Offenlegung auf März 26, 2024, Xerox hat diese Schwachstellen behoben in Service Pack 57.75.53, letzten Monat für VersaLink C7020 veröffentlicht, 7025, und 7030 Seriendrucker.
Für Organisationen, die den Patch nicht sofort anwenden können, Folgende Sicherheitsmaßnahmen werden empfohlen:
- Legen Sie einen komplexes Passwort für das Administratorkonto.
- Vermeiden Sie die Verwendung Windows-Authentifizierungskonten mit erhöhten Rechten.
- Fernsteuerungskonsole deaktivieren Zugriff für nicht authentifizierte Benutzer.
Die Schwachstellen in Xerox VersaLink MFPs und HealthStream MSOW unterstreichen die zunehmende Risiken im Zusammenhang mit netzwerkverbundenen Geräten und Unternehmenssoftware, Betonung der Notwendigkeit kontinuierlicher Überwachung und proaktiver Sicherheitsmaßnahmen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: