Уязвимостите в многофункционалните принтери Xerox VersaLink могат да позволят на атакуващите да получат удостоверителни данни чрез атаки с преминаване назад, насочени към LDAP и SMB/FTP услуги, откри Rapid7.
Бяха установени два дефекта в сигурността на цветните корпоративни принтери „всичко в едно“, а именно CVE-2024-12510 и CVE-2024-12511, и Xerox пусна актуализации на сигурността за отстраняване и на двата.
Накратко, при атаката с преминаване назад принтерът се насочва към удостоверяване на автентичността спрямо сървър, контролиран от нападателя, който след това улавя данните за удостоверяване, изпратени от устройството.
При принтер Versalink с конфигурирани за удостоверяване услуги на протокола за достъп до леки директории (LDAP) нападателят с достъп до страницата за конфигуриране ще трябва да промени IP адреса на услугата и след това да задейства LDAP търсене, за да се удостовери срещу контролирания от нападателя сървър.
„Чрез стартиране на слушател на порта на хост, който злонамереният участник контролира, той може да улови пълномощията на LDAP услугата в чист текст. Тази атака изисква достъп до администраторския акаунт на MFP принтера, а LDAP услугите трябва да са конфигурирани за нормална работа към валиден LDAP сървър“, обяснява Rapid7.
За да улови идентификационните данни за удостоверяване на SMB или FTP, нападателят се нуждае от достъп до конфигурацията на потребителската адресна книга, където трябва да промени IP адреса на SMB или FTP сървъра, за да сочи към контролиран от него сървър.
„Тази атака позволява на злонамерен участник да прихване ръкостисканията на NetNTLMV2 или да използва уязвимостта при SMB relay атака срещу файлови сървъри на Active Directory. В случай на FTP злонамереният участник ще може да улови пълномощията за удостоверяване на FTP в чист текст“, казва Rapid7.
Такава атака може да бъде осъществена, ако в адресната книга на потребителя е конфигурирана функция за сканиране на SMB или FTP и ако атакуващият има физически достъп до конзолата на принтера или отдалечен достъп чрез уеб интерфейса, което може да изисква административни пълномощия.
„Ако злонамереният участник успее да се възползва успешно от тези проблеми, това ще му позволи да завладее пълномощията за Windows Active Directory. Това означава, че след това те биха могли да се придвижат странично в средата на организацията и да компрометират други критични Windows сървъри и файлови системи“, отбелязва Rapid7.
Двата проблема са докладвани на Xerox през март 2024 г. Корекциите за тях бяха пуснати в края на януари 2025 г. под формата на актуализации на сервизни пакети за многофункционалните принтери от сериите VersaLink C7020, 7025 и 7030.
На организациите се препоръчва да актуализират своите принтери VersaLink до версия на фърмуера 57.75.53 възможно най-скоро. За да намалят недостатъците, те трябва да използват сложни пароли за административния акаунт, да избягват използването на акаунти за удостоверяване на Windows с повишени привилегии и да забранят неавтентикирания достъп до конзолата за дистанционно управление.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
