Les chercheurs en sécurité ont découvert des failles critiques vulnérabilités de l'imprimante dans les imprimantes multifonctions Xerox VersaLink C7025 (MFP). Ces failles pourraient permettre aux attaquants de capturer les informations d'authentification via attaques de type pass-back en utilisant le protocole d'accès léger aux annuaires (LDAP) et services SMB/FTP.
Aperçu des vulnérabilités
Deral Heiland, un chercheur en sécurité à Rapid7, a expliqué que ces attaques de type pass-back exploitent une vulnérabilité qui permet à un acteur malveillant de modifier la configuration du MFP. Par conséquent, l'appareil peut être manipulé pour renvoyer les informations d'authentification à l'attaquant.
Qu'est-ce qu'une attaque de type Pass-Back?
Une attaque de type pass-back est une cyberattaque dans laquelle un attaquant manipule la configuration d'un système pour rediriger les informations d'authentification vers lui-même.. Cela se fait généralement en modifiant les paramètres réseau de sorte que lorsqu'un appareil, comme une imprimante ou un serveur, tente d'authentifier auprès d'un service légitime (par exemple, LDAP, SMB, ou FTP), il envoie plutôt les informations d'identification à un serveur contrôlé par un attaquant. Une fois capturé, ces informations d'identification peuvent être utilisées pour obtenir un accès non autorisé aux systèmes, permettre potentiellement un mouvement latéral au sein d'un réseau pour compromettre des données et une infrastructure sensibles.
Heiland a noté que si un attaquant exploite avec succès ces vulnérabilités, ils pourraient capturer les informations d'identification Windows Active Directory. Cet accès leur permettrait ensuite de se déplacer latéralement au sein du réseau d’une organisation., compromettant potentiellement les serveurs et systèmes de fichiers Windows critiques.
Les vulnérabilités identifiées, affectant les versions du firmware 57.69.91 et plus tôt, inclure:
– CVE-2024-12510 (Note CVSS: 6.7) – Attaque de type pass-back via LDAP
– CVE-2024-12511 (Note CVSS: 7.6) – Attaque de type pass-back via le carnet d'adresses de l'utilisateur
Impact et exploitation
L'exploitation de CVE-2024-12510 pourrait permettre aux informations d'authentification d'être redirigées vers un serveur malveillant, exposant ainsi des informations sensibles. Cependant, l'exécution de cette attaque nécessite que l'attaquant accède à la page de configuration LDAP et que l'authentification LDAP soit utilisée.
De même, CVE-2024-12511 pourrait permettre à un attaquant de modifier la configuration du carnet d'adresses de l'utilisateur pour modifier l'adresse IP du serveur SMB ou FTP. Ce changement redirigerait le processus d'authentification vers un serveur malveillant, permettant à l'attaquant de capturer les informations d'identification SMB ou FTP lors des opérations d'analyse de fichiers.
Heiland a souligné que pour que cette attaque fonctionne, l'attaquant aurait besoin qu'une fonction d'analyse SMB ou FTP soit configurée dans le carnet d'adresses de l'utilisateur. En outre, l'attaquant aurait besoin soit d'un accès physique à la console de l'imprimante, soit d'un accès à distance via l'interface Web. Dans certains cas,, l'accès administratif peut être nécessaire à moins que l'accès au niveau utilisateur à la console de contrôle à distance n'ait été activé.
Atténuation et correctifs
Suite à une divulgation responsable sur Mars 26, 2024, Xerox a corrigé ces vulnérabilités dans Service Pack 57.75.53, sorti le mois dernier pour VersaLink C7020, 7025, et 7030 imprimantes de série.
Pour les organisations qui ne peuvent pas appliquer le correctif immédiatement, les mesures de sécurité suivantes sont recommandées:
- Définir un mot de passe complexe pour le compte administrateur.
- Évitez d'utiliser Comptes d'authentification Windows avec privilèges élevés.
- Désactiver la console de commande à distance accès pour les utilisateurs non authentifiés.
Les vulnérabilités des imprimantes multifonctions Xerox VersaLink et HealthStream MSOW mettent en évidence les risques croissants associés aux appareils connectés au réseau et aux logiciels d'entreprise, soulignant la nécessité d'une surveillance continue et de mesures de sécurité proactives.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: