Fevereiro 18, 2025
Rico Olivetti Hackers

Novas falhas na impressora Xerox podem permitir que invasores capturem credenciais do Windows Active Directory

Vulnerabilidades de segurança foram divulgadas em impressoras multifuncionais (MFPs) Xerox VersaLink C7025 que podem permitir que invasores capturem credenciais de autenticação por meio de ataques de pass-back via Lightweight Directory Access Protocol ( LDAP ) e serviços SMB/FTP.

“Esse ataque no estilo pass-back aproveita uma vulnerabilidade que permite que um agente malicioso altere a configuração do MFP e faça com que o dispositivo MFP envie credenciais de autenticação de volta ao agente malicioso”, disse o pesquisador de segurança da Rapid7, Deral Heiland .

“Se um agente malicioso puder aproveitar esses problemas com sucesso, isso permitirá que ele capture credenciais para o Windows Active Directory. Isso significa que ele pode então se mover lateralmente dentro do ambiente de uma organização e comprometer outros servidores e sistemas de arquivos Windows críticos.”

As vulnerabilidades identificadas, que afetam as versões de firmware 57.69.91 e anteriores, estão listadas abaixo –

  • CVE-2024-12510 (pontuação CVSS: 6,7) – Ataque de retorno via LDAP
  • CVE-2024-12511 (pontuação CVSS: 7,6) – Ataque de passagem de volta via catálogo de endereços do usuário

A exploração bem-sucedida do CVE-2024-12510 pode permitir que informações de autenticação sejam redirecionadas para um servidor desonesto, potencialmente expondo credenciais. Isso, no entanto, requer que um invasor obtenha acesso à página de configuração do LDAP e que o LDAP seja usado para autenticação.

O CVE-2024-12511 também permite que um agente malicioso obtenha acesso à configuração do catálogo de endereços do usuário para modificar o endereço IP do servidor SMB ou FTP e fazê-lo apontar para um host sob seu controle, fazendo com que as credenciais de autenticação SMB ou FTP sejam capturadas durante as operações de verificação de arquivos.

“Para que esse ataque seja bem-sucedido, o invasor precisa que uma função de escaneamento SMB ou FTP seja configurada no catálogo de endereços do usuário, bem como acesso físico ao console da impressora ou acesso ao console de controle remoto por meio da interface da web”, observou Heiland. “Isso pode exigir acesso de administrador, a menos que o acesso de nível de usuário ao console de controle remoto tenha sido habilitado.”

Após divulgação responsável em 26 de março de 2024, as vulnerabilidades foram corrigidas como parte do Service Pack 57.75.53 lançado no final do mês passado para impressoras VersaLink séries C7020, 7025 e 7030.

Se a aplicação imediata de patches não for uma opção, é recomendável que os usuários definam uma senha complexa para a conta de administrador, evitem usar contas de autenticação do Windows que tenham privilégios elevados e desabilitem o console de controle remoto para usuários não autenticados.

O desenvolvimento ocorre no momento em que o fundador e CEO da Specular, Peyton Smith, detalhou uma vulnerabilidade de injeção de SQL não autenticada que afeta um software de saúde amplamente implantado chamado HealthStream MSOW (CVE-2024-56735), o que pode levar ao comprometimento total do banco de dados, permitindo que agentes de ameaças acessem dados confidenciais de 23 organizações de saúde pela Internet pública.

A empresa disse ter identificado 50 casos de MSOW expostos à Internet, dos quais 23 são suscetíveis a falhas de segurança.

A vulnerabilidade pode permitir que “todo o banco de dados seja retornado em banda, o que significa que um invasor pode recuperar o conteúdo do banco de dados em texto simples em uma resposta HTTP de uma carga útil HTTP de injeção de SQL criada”, disse Smith .

Fonte: thehackernews.com