Una impresora comercial Xerox Xerox en el rango medio de rango medio contiene dos vulnerabilidades ahora proporcionadas en su firmware que permiten a los atacantes alcanzar el acceso completo al entorno de Windows de una organización.
Las vulnerabilidades afectan la versión de firmware 57.69.91 y anteriormente en las impresoras multifuncionales de Xerox Versalink C7025 (MFP). Las dos fallas permiten lo que se llaman ataques de pase, una clase de ataques que esencialmente permiten a un mal actor capturar información de identificación del usuario manipulando la configuración de MFP.
Acceso completo a entornos de Windows
En ciertas situaciones, un actor malicioso que explota con éxito las vulnerabilidades de la impresora Xerox podría capturar información de identificación para Windows Active Directory, según los investigadores de Rapid7 que descubrieron defectos. “Esto significa que luego podrían moverse lateralmente al entorno de una organización y comprometer otros servidores y archivos críticos de Windows”, escribió Deral Heiland, investigador de seguridad principal, para Rapid7 Blog Blog reciente Arte.
Xerox describe Versalink C7025 Como una impresora multifunción con ConnectKeyTecnología Xerox que permite a los clientes interactuar con impresoras en la nube y a través de dispositivos móviles. Entre otras cosas, la tecnología incluye características de seguridad que, según Xerox, ayudan a prevenir ataques, detectan cambios de impresoras potencialmente maliciosos y protegen contra la transmisión no autorizada de datos críticos. Xerox posicionó a su familia de impresoras toalink como ideal para grupos de trabajo pequeños y de medios que imprimen alrededor de 7,000 páginas por mes.
Las dos vulnerabilidades que Rapid7 ha descubierto en la impresora y que Xerox ha solucionado desde entonces, son CVE-2024-12510 (Puntuación CVSS: 6.7), una vulnerabilidad LDAP Pass-Back; Y CVE-2024-12511 (Puntuación CVSS: 7.6) Una vulnerabilidad del paso de paso SMB / FTP.
Según Rapid7, las vulnerabilidades permiten a un atacante modificar la configuración del MFP para obtener la impresora para enviar una información de autenticación de usuario a un sistema controlado por el atacante. El ataque funcionaría si se configurara una impresora vulnerable de Xerox Versalink C7025 para servicios LDAP y / o SMB.
En tal situación, CVE-2024-12510 permitiría a un atacante acceder a la página de configuración de MFP LDAP y modificar la dirección IP del servidor LDAP en la configuración de la impresora para apuntar a su propio servidor LDAP malicioso. Cuando la impresora intenta autenticar a los usuarios revisando la página de Mapeaje de usuario LDAP, se conecta al servidor LDAP FALSE del atacante en lugar del servidor LEDA LEDAP. Esto abre el camino al atacante para capturar la información de identificación del servicio de texto claro LDAP, escribió Heiland.
CVE-2024-12511 permite una captura de identificación similar cuando la función de escaneo SMB o FTP se activa en una impresora vulnerable Xerox Toalink C7025. Un atacante con acceso a la administración puede modificar la dirección IP del servidor SMB o FTP a su propia IP maliciosa y captura la información de autenticación SMM o FTP.
Solo se necesita un atacante para descubrir que una impresora vulnerable es conectarse a un dispositivo MFP Xerox asignado a través de un navegador web, validar que la contraseña predeterminada siempre se activa y garantizar que el dispositivo esté configurado para servicios LDAP y / o SMB, Heiland habla de una lectura oscura. “Además, a menudo es posible cuestionar un MFP a través de SNMP e identificar si los servicios LDAP están activados y configurados”.
El riesgo para las organizaciones es que si un actor malicioso obtenga un nivel de acceso a una red comercial, podría usar el ataque de pase para cosechar fácilmente las referencias de Active Directory sin ser detectado, dijo. Esto les permitiría rotar sistemas de Windows más críticos en un entorno comprometido. “Desafortunadamente”, agrega, “no es raro encontrar parámetros LDAP en dispositivos MFP que contengan información de identificación de administración de dominio”, que podría dar un mal control completo con el entorno de Windows de una organización.
“Dado que la configuración LDAP y SMB en los dispositivos MFP generalmente contiene información de identificación de Windows Active Directory, un ataque exitoso daría a un jugador malicioso acceso a servicios de archivos de Windows, información de dominio, cuentas de correo y cuentas de mensajería y sistemas de datos”, dijo Heiland. “Si se usara una cuenta de dominio o una cuenta de administración con altos privilegios para LDAP o SMB, un atacante habría acceso sin obstáculos a potencialmente todo en la organización de la organización”.
Un escenario ideal para los actores de amenaza
Jim Routh, director de confianza de Saviynt, dijo que un atacante necesitaría habilidades técnicas relativamente sofisticadas para explotar este tipo de vulnerabilidad. Pero para aquellos que pueden, la vulnerabilidad de LDAP proporciona acceso a Windows Active Directory, donde todos los perfiles de administrador e información de identificación de residentes. “Este es el escenario ideal para el actor de amenaza”, señala. Cada dispositivo conectado a Internet tiene opciones de configuración que ofrecen … una superficie de ataque para cibercriminal. “
Xerox a Publicado una versión parcheada MFP Xerox Toalink Firmware, que permite a las organizaciones de clientes actualizar y resolver problemas. Las organizaciones que no pueden parchear de inmediato deben definir una “contraseña compleja en nombre de la administración y también evitar el uso de cuentas de autenticación de Windows que tengan altos privilegios, como una cuenta de administración en dominio de dominio para los servicios LDAP o escaneo a un archivo SMB”, según el blog con el blog. Rapid7 Post. “Además, las organizaciones deben evitar activar la consola de control remoto para usuarios no autenticados”.
Las vulnerabilidades de la impresora son un problema creciente para muchas organizaciones debido al aumento de los modelos de trabajo remotos e híbridos. Un estudio en 2024 de Quocirta encontrado 67% de las organizaciones había experimentado un incidente de seguridad vinculado a una vulnerabilidad de impresora, en comparación con el 61% el año anterior. A pesar de la tendencia, muchas organizaciones continúan subestimando las amenazas relacionadas con la impresora, lo que lo convierte en un punto débil Para que los atacantes se apuntaran.