Los investigadores de seguridad han descubierto vulnerabilidades críticas vulnerabilidades de la impresora en impresoras multifunción Xerox VersaLink C7025 (MFP). Estas fallas podrían permitir a los atacantes capturar credenciales de autenticación a través de ataques de pase atrás utilizando el Protocolo ligero de acceso a directorios (LDAP) y servicios SMB/FTP.
Descripción general de las vulnerabilidades
Deral Heiland, Un investigador de seguridad en Rapid7, Explicó que estos ataques de devolución aprovechan una vulnerabilidad que permite a un actor malicioso alterar la configuración de la MFP.. Como resultado, El dispositivo puede manipularse para enviar credenciales de autenticación al atacante..
¿Qué es un ataque de pase hacia atrás??
Un ataque de devolución es un ciberataque en el que un atacante manipula la configuración de un sistema para redirigir las credenciales de autenticación hacia sí mismo.. Esto normalmente se hace modificando la configuración de red para que cuando un dispositivo..., como una impresora o un servidor, intenta autenticarse contra un servicio legítimo (e.g., LDAP, SMB, o FTP), En su lugar, envía las credenciales a un servidor controlado por el atacante.. Una vez capturado, Estas credenciales se pueden utilizar para obtener acceso no autorizado a los sistemas., Permitiendo potencialmente el movimiento lateral dentro de una red para comprometer datos e infraestructuras sensibles.
Heiland señaló que si un atacante explota con éxito estas vulnerabilidades, Podrían capturar credenciales de Windows Active Directory. Este acceso les permitiría entonces moverse lateralmente dentro de la red de una organización., potencialmente comprometiendo servidores y sistemas de archivos críticos de Windows.
Las vulnerabilidades identificadas, que afectan las versiones de firmware 57.69.91 y anterior, incluir:
– CVE-2024-12510 (Puntuación CVSS: 6.7) – Ataque de pass-back a través de LDAP
– CVE-2024-12511 (Puntuación CVSS: 7.6) – Ataque de pass-back a través de la libreta de direcciones del usuario
Impacto y explotación
La explotación de CVE-2024-12510 Podría permitir que las credenciales de autenticación se redirijan a un servidor no autorizado., exponiendo así información sensible. Sin embargo, Para ejecutar este ataque, es necesario que el atacante obtenga acceso a la página de configuración LDAP y que se utilice la autenticación LDAP..
Del mismo modo, CVE-2024-12511 Podría permitir que un atacante modifique la configuración de la libreta de direcciones del usuario para alterar la dirección IP del servidor SMB o FTP.. Este cambio redirigiría el proceso de autenticación a un servidor malicioso., Permitir al atacante capturar credenciales SMB o FTP durante operaciones de escaneo de archivos.
Heiland enfatizó que para que este ataque funcione, El atacante necesitaría que se configure una función de escaneo SMB o FTP en la libreta de direcciones del usuario.. Adicionalmente, El atacante necesitaría acceso físico a la consola de la impresora o acceso remoto a través de la interfaz web.. En algunos casos, Puede ser necesario el acceso administrativo a menos que se haya habilitado el acceso a nivel de usuario a la consola de control remoto.
Mitigación y aplicación de parches
Tras la divulgación responsable de Marzo 26, 2024, Xerox abordó estas vulnerabilidades en Paquete de servicio 57.75.53, Lanzado el mes pasado para VersaLink C7020, 7025, y 7030 impresoras en serie.
Para organizaciones que no pueden aplicar el parche inmediatamente, Se recomiendan las siguientes medidas de seguridad:
- Establecer un contraseña compleja Para la cuenta de administrador.
- Evite usar Cuentas de autenticación de Windows con privilegios elevados.
- Deshabilitar la consola de control remoto acceso para usuarios no autenticados.
Las vulnerabilidades en las impresoras multifunción Xerox VersaLink y HealthStream MSOW resaltan la Riesgos crecientes asociados con los dispositivos conectados a la red y el software empresarial, destacando la necesidad de una vigilancia continua y de medidas de seguridad proactivas.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: