I ricercatori della sicurezza hanno scoperto elementi critici vulnerabilità della stampante nelle stampanti multifunzione Xerox VersaLink C7025 (multifunzione). Questi difetti potrebbero consentire agli aggressori di catturare le credenziali di autenticazione tramite attacchi pass-back utilizzando il protocollo Lightweight Directory Access Protocol (LDAP) e servizi SMB/FTP.
Panoramica delle vulnerabilità
Deral Heiland, un ricercatore di sicurezza presso Rapid7, ha spiegato che questi attacchi pass-back sfruttano una vulnerabilità che consente a un malintenzionato di alterare la configurazione dell'MFP. Di conseguenza, il dispositivo può essere manipolato per inviare credenziali di autenticazione all'aggressore.
Che cosa è un attacco pass-back?
Un attacco pass-back è un attacco informatico in cui un aggressore manipola la configurazione di un sistema per reindirizzare le credenziali di autenticazione a se stesso. Ciò avviene in genere modificando le impostazioni di rete in modo che quando un dispositivo, come una stampante o un server, tentativi di autenticazione con un servizio legittimo (es, LDAP, SMB, o FTP), invia invece le credenziali a un server controllato dall'aggressore. Una volta catturato, queste credenziali possono essere utilizzate per ottenere l'accesso non autorizzato ai sistemi, consentendo potenzialmente il movimento laterale all'interno di una rete per compromettere dati sensibili e infrastrutture.
Heiland ha osservato che se un aggressore sfrutta con successo queste vulnerabilità, potrebbero acquisire le credenziali di Windows Active Directory. Questo accesso consentirebbe loro di muoversi lateralmente all'interno della rete di un'organizzazione, compromettendo potenzialmente i server Windows critici e i file system.
Le vulnerabilità identificate, che influenzano le versioni del firmware 57.69.91 e precedenti, includere:
– CVE-2024-12510 (Punteggio CVSS: 6.7) – Attacco pass-back tramite LDAP
– CVE-2024-12511 (Punteggio CVSS: 7.6) – Attacco pass-back tramite la rubrica dell’utente
Impatto e sfruttamento
Lo sfruttamento di CVE-2024-12510 potrebbe consentire che le credenziali di autenticazione vengano reindirizzate a un server non autorizzato, esponendo così informazioni sensibili. Tuttavia, l'esecuzione di questo attacco richiede che l'aggressore ottenga l'accesso alla pagina di configurazione LDAP e che l'autenticazione LDAP sia in uso.
Allo stesso modo, CVE-2024-12511 potrebbe consentire a un aggressore di modificare la configurazione della rubrica dell'utente per alterare l'indirizzo IP del server SMB o FTP. Questa modifica reindirizzerebbe il processo di autenticazione a un server dannoso, consentendo all'aggressore di catturare credenziali SMB o FTP durante le operazioni di scansione dei file.
Heiland ha sottolineato che affinché questo attacco funzioni, l'attaccante avrebbe bisogno di una funzione di scansione SMB o FTP da configurare nella rubrica dell'utente. In aggiunta, l'attaccante avrebbe bisogno dell'accesso fisico alla console della stampante o dell'accesso remoto tramite l'interfaccia web. In alcuni casi, potrebbe essere necessario l'accesso amministrativo a meno che non sia stato abilitato l'accesso a livello utente alla console di controllo remoto.
Mitigazione e patching
A seguito di una divulgazione responsabile su Marzo 26, 2024, Xerox ha affrontato queste vulnerabilità in Pacchetto d'aggiornamento 57.75.53, rilasciato il mese scorso per VersaLink C7020, 7025, e 7030 stampanti di serie.
Per le organizzazioni che non sono in grado di applicare la patch immediatamente, si raccomandano le seguenti misure di sicurezza:
- Imposta un password complessa per l'account amministratore.
- Evitare di usare Account di autenticazione Windows con privilegi elevati.
- Disattivare la console di controllo remoto accesso per utenti non autenticati.
Le vulnerabilità nelle stampanti multifunzione Xerox VersaLink e HealthStream MSOW evidenziano aumento dei rischi associati ai dispositivi connessi in rete e al software aziendale, sottolineando la necessità di un monitoraggio continuo e di misure di sicurezza proattive.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: