Pesquisadores de segurança descobriram problemas críticos vulnerabilidades da impressora em Impressoras multifuncionais Xerox VersaLink C7025 (MFPs). Essas falhas podem permitir que invasores capturem credenciais de autenticação por meio de ataques de passe para trás usando Lightweight Directory Access Protocol (LDAP) e serviços SMB/FTP.
Visão geral das vulnerabilidades
Deral Heiland, um pesquisador de segurança em Rapid7, explicou que esses ataques de pass-back aproveitam uma vulnerabilidade que permite que um agente malicioso altere a configuração do MFP. Como um resultado, o dispositivo pode ser manipulado para enviar credenciais de autenticação de volta ao invasor.
O que é um ataque Pass-Back?
Um ataque de pass-back é um ataque cibernético em que um invasor manipula a configuração de um sistema para redirecionar as credenciais de autenticação de volta para si mesmo. Isso normalmente é feito alterando as configurações de rede para que, quando um dispositivo, como uma impressora ou servidor, tenta autenticar em um serviço legítimo (v.g., LDAP, SMB, ou FTP), em vez disso, ele envia as credenciais para um servidor controlado pelo invasor. Uma vez capturado, essas credenciais podem ser usadas para obter acesso não autorizado aos sistemas, permitindo potencialmente o movimento lateral dentro de uma rede para comprometer dados e infraestrutura confidenciais.
Heiland observou que se um invasor explorar com sucesso essas vulnerabilidades, eles poderiam capturar credenciais do Windows Active Directory. Este acesso permitiria então que eles se movessem lateralmente dentro da rede de uma organização, potencialmente comprometendo servidores Windows e sistemas de arquivos críticos.
As vulnerabilidades identificadas, afetando versões de firmware 57.69.91 e anteriores, incluir:
– CVE-2024-12510 (pontuação CVSS: 6.7) – Ataque de pass-back via LDAP
– CVE-2024-12511 (pontuação CVSS: 7.6) – Ataque de pass-back através do catálogo de endereços do usuário
Impacto e Exploração
A exploração de CVE-2024-12510 poderia permitir que as credenciais de autenticação fossem redirecionadas para um servidor desonesto, expondo assim informações sensíveis. Contudo, a execução deste ataque requer que o invasor obtenha acesso à página de configuração do LDAP e que a autenticação do LDAP esteja em uso.
similarmente, CVE-2024-12511 poderia permitir que um invasor modificasse a configuração do catálogo de endereços do usuário para alterar o endereço IP do servidor SMB ou FTP. Essa alteração redirecionaria o processo de autenticação para um servidor malicioso, permitindo que o invasor capture credenciais SMB ou FTP durante operações de verificação de arquivos.
Heiland enfatizou que para que esse ataque funcione, o invasor precisaria de uma função de varredura SMB ou FTP configurada no catálogo de endereços do usuário. além do que, além do mais, o invasor precisaria de acesso físico ao console da impressora ou acesso remoto por meio da interface da web. Em alguns casos, acesso administrativo pode ser necessário, a menos que o acesso de nível de usuário ao console de controle remoto tenha sido habilitado.
Mitigação e Patching
Após divulgação responsável sobre marcha 26, 2024, A Xerox abordou essas vulnerabilidades em Pacote de serviço 57.75.53, lançado no mês passado para VersaLink C7020, 7025, e 7030 impressoras em série.
Para organizações que não conseguem aplicar o patch imediatamente, as seguintes medidas de segurança são recomendadas:
- Defina um senha complexa para a conta de administrador.
- Evite usar Contas de autenticação do Windows com privilégios elevados.
- Desativar console de controle remoto acesso para usuários não autenticados.
As vulnerabilidades nos MFPs Xerox VersaLink e HealthStream MSOW destacam a riscos crescentes associados a dispositivos conectados à rede e software empresarial, enfatizando a necessidade de monitoramento contínuo e medidas de segurança proativas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: