Veiligheidsonderzoekers hebben kritieke problemen ontdekt kwetsbaarheden van printers in Xerox VersaLink C7025 multifunctionele printers (MFP's). Deze fouten kunnen aanvallers in staat stellen om authenticatiegegevens te verkrijgen via pass-back-aanvallen met behulp van het Lightweight Directory Access Protocol (LDAP) en SMB/FTP-diensten.
Overzicht van de kwetsbaarheden
Deral Heiland, een beveiligingsonderzoeker bij Rapid7, legde uit dat deze pass-back-aanvallen misbruik maken van een kwetsbaarheid die een kwaadwillende actor in staat stelt de configuratie van de MFP te wijzigen. Dientengevolge, het apparaat kan worden gemanipuleerd om authenticatiegegevens terug te sturen naar de aanvaller.
Wat is een pass-back-aanval??
Een pass-back-aanval is een cyberaanval waarbij een aanvaller de configuratie van een systeem manipuleert om authenticatiegegevens terug naar zichzelf te leiden. Dit gebeurt doorgaans door de netwerkinstellingen te wijzigen, zodat wanneer een apparaat, zoals een printer of server, pogingen om te authenticeren tegen een legitieme service (bijv., LDAP, SMB, of FTP-en), in plaats daarvan worden de inloggegevens naar een door de aanvaller gecontroleerde server gestuurd. Eenmaal gevangen, Deze inloggegevens kunnen worden gebruikt om ongeautoriseerde toegang tot systemen te verkrijgen, waardoor mogelijk laterale beweging binnen een netwerk mogelijk wordt, wat gevoelige gegevens en infrastructuur in gevaar kan brengen.
Heiland merkte op dat als een aanvaller deze kwetsbaarheden met succes uitbuit, ze konden Windows Active Directory-referenties vastleggen. Deze toegang zou hen vervolgens in staat stellen om zich lateraal binnen het netwerk van een organisatie te verplaatsen, potentieel kritieke Windows-servers en bestandssystemen in gevaar brengen.
De geïdentificeerde kwetsbaarheden, die firmwareversies beïnvloeden 57.69.91 en eerder, omvatten:
– CVE-2024-12510 (CVSS-score: 6.7) – Pass-back-aanval via LDAP
– CVE-2024-12511 (CVSS-score: 7.6) – Passback-aanval via het adresboek van de gebruiker
Impact en exploitatie
De exploitatie van CVE-2024-12510 zou het mogelijk kunnen maken om authenticatiegegevens om te leiden naar een frauduleuze server, waardoor gevoelige informatie wordt blootgesteld. Echter, Om deze aanval uit te voeren, moet de aanvaller toegang krijgen tot de LDAP-configuratiepagina en moet LDAP-authenticatie worden gebruikt.
evenzo, CVE-2024-12511 kan een aanvaller in staat stellen de configuratie van het gebruikersadresboek te wijzigen om het IP-adres van de SMB- of FTP-server te wijzigen. Deze wijziging zou het authenticatieproces omleiden naar een kwaadaardige server, waardoor de aanvaller SMB- of FTP-inloggegevens kan vastleggen tijdens bestandsscanbewerkingen.
Heiland benadrukte dat om deze aanval te laten slagen, de aanvaller zou een SMB- of FTP-scanfunctie nodig hebben die geconfigureerd moet zijn in het adresboek van de gebruiker. Bovendien, de aanvaller zou fysieke toegang tot de printerconsole of externe toegang via de webinterface nodig hebben. In sommige gevallen, beheerderstoegang kan nodig zijn, tenzij gebruikerstoegang tot de console voor externe bediening is ingeschakeld.
Mitigatie en patchen
Na verantwoorde openbaarmaking op Maart 26, 2024, Xerox heeft deze kwetsbaarheden aangepakt in Service Pack 57.75.53, vorige maand uitgebracht voor VersaLink C7020, 7025, en 7030 serie printers.
Voor organisaties die de patch niet direct kunnen toepassen, de volgende veiligheidsmaatregelen worden aanbevolen:
- Stel een in complex wachtwoord voor het beheerdersaccount.
- Vermijd het gebruik van Windows-authenticatieaccounts met verhoogde rechten.
- Schakel de afstandsbedieningsconsole uit toegang voor niet-geverifieerde gebruikers.
De kwetsbaarheden in Xerox VersaLink MFP's en HealthStream MSOW benadrukken de toenemende risico's die samenhangen met netwerkapparaten en bedrijfssoftware, met de nadruk op de noodzaak van continue monitoring en proactieve veiligheidsmaatregelen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: