Ranjivosti u Xerox VersaLink multifunkcionalnim štampačima mogle bi omogućiti napadačima da dohvate pristupne podatke putem povratnih napada usmjerenih na LDAP i SMB/FTP usluge, otkrio je Rapid7.
Identifikovana su dva bezbjednosna defekta u višenamjenskim štampačima u boji za preduzeća, a to su CVE-2024-12510 i CVE-2024-12511, a Xerox je objavio bezbjednosne ispravke za rješavanje oba.
Ukratko, u napadu s povratnim prosljeđivanjem, štampač je usmjeren da se autentifikuje na server pod kontrolom napadača, koji zatim hvata autentifikacijske podatke koje šalje uređaj.
Na Versalink štampaču sa uslugama Lightweight Directory Access Protocol (LDAP) konfigurisanim za autentifikaciju, napadač koji ima pristup stranici za konfiguraciju bi trebao da izmijeni IP adresu usluge, a zatim da pokrene LDAP pretragu za autentifikaciju na serveru koji kontroliše napadač.
Da bi uhvatio pristupne podatke za SMB ili FTP autentifikaciju, napadaču bi trebao pristup konfiguraciji korisničkog adresara, gdje treba da modifikuje IP adresu SMB ili FTP servera kako bi ukazao na server koji kontroliše.
“Ovaj napad omogućava hakeru da uhvati NetNTLMV2 rukovanja ili iskoristi ranjivost u SMB relay napadu na servere datoteka Active Directory. U slučaju FTP-a, haker bi mogao uhvatiti akreditive za FTP autentifikaciju čistog teksta“, kaže Rapid7.
Takav napad se može montirati ako je funkcija SMB ili FTP skeniranja konfigurisana u korisničkom adresaru i ako napadač ima fizički pristup konzoli štampača ili udaljeni pristup preko web interfejsa, što može zahtjevati administrativne akreditive.
“Ako haker može uspješno iskoristiti ove probleme, to bi im omogućilo da preuzmu pristupne podatke za Windows Active Directory. To znači da bi se onda mogli kretati bočno unutar okruženja organizacije i kompromitovati druge kritične Windows servere i sisteme datoteka“, napominje Rapid7.
Dva problema su prijavljena Xeroxu u martu 2024. Ispravci za njih su objavljeni krajem januara 2025. u obliku ažuriranja servisnog paketa za višenamjenske štampače serije VersaLink C7020, 7025 i 7030.
Organizacijama se savjetuje da ažuriraju svoje VersaLink štampače na verziju firmvera 57.75.53 što je prije moguće. Da bi ublažili nedostatke, trebali bi koristiti složene lozinke za administrativni račun, izbjegavati korištenje Windows naloga za autentifikaciju s povišenim privilegijama i onemogućiti neautorizovan pristup konzoli za daljinsko upravljanje.
Izvor: SecurityWeek
