Popüler küçük ve orta kademe Xerox Business yazıcısı, ürün yazılımında saldırganlara bir kuruluşun Windows ortamına tam erişim kazanma fırsatı sağlayan şu anda paketlenmiş iki güvenlik açığı içeriyor.
Güvenlik açıkları, Xerox Versalink C7025 çok işlevli yazıcılarda (MFP’ler) ürün yazılım sürümünü 57.69.91 ve daha önce etkiler. Her iki kusur da, kötü bir aktörün esasen MFP’lerin yapılandırmasını manipüle ederek kullanıcı kimlik bilgilerini yakalamasına izin veren bir saldırı sınıfı olan geri geçiş saldırıları olarak bilinir.
Windows ortamlarına tam erişim
Bazı durumlarda, Xerox yazıcı güvenlik açıklarını başarıyla kullanan kötü niyetli bir aktör, Flaws’ı keşfeden Rapid7’deki araştırmacılara göre, Windows Active Directory için kimlik bilgilerini yakalayabilecek. “Bu, daha sonra bir kuruluşun ortamında yanal olarak hareket edebilecekleri ve diğer kritik Windows sunucularından ve dosya sistemlerinden ödün verebilecekleri anlamına gelir.” Son blog yazısı.
Xerox tarif eder Versalink C7025 Çok işlevli bir yazıcı olarak ConnectKeymüşterilerin yazıcılarla bulut üzerinden ve mobil cihazlar aracılığıyla etkileşime girmesini sağlayan bir Xerox teknolojisi. Diğer şeylerin yanı sıra, teknoloji, Xerox’a göre saldırıları önlemeye, yazıcıda potansiyel olarak kötü niyetli değişiklikleri tespit eden ve kritik verilerin yetkisiz iletimine karşı koruma sağlayan güvenlik özelliklerini içerir. Xerox, Versalink Ailesi’ni ayda yaklaşık 7.000 sayfa yazdıran küçük ve orta ölçekli çalışma grupları için ideal olarak konumlandırdı.
Rapid7’nin yazıcıda keşfettiği ve Xerox’un o zamandan beri düzelttiği iki güvenlik açıklaması CVE-2024-12510 (CVSS puanı: 6.7), LDAP geri geçiş güvenlik açığı; Ve CVE-2024-12511 (CVSS Puanı: 7.6) Bir KOBİ/FTP geçiş Güvenlik Açığı.
Rapid7’ye göre güvenlik açıkları, bir saldırganın yazıcının bir kullanıcının kimlik doğrulama kimlik bilgilerini saldırgan kontrollü bir sisteme göndermesine neden olacak şekilde MFP’nin yapılandırmasını değiştirmesine izin verir. LDAP ve/veya SMB hizmetleri için savunmasız bir Xerox Versalink C7025 yazıcı yapılandırılırsa saldırı işe yarar.
Böyle bir durumda, CVE-2024-12510, bir saldırganın MFP’nin LDAP yapılandırma sayfasına erişmesine ve yazıcının ayarlarındaki LDAP sunucusu IP adresini kendi kötü amaçlı LDAP sunucusuna işaret edecek şekilde değiştirmesine izin verecektir. Yazıcı bir sonraki yazıcı, LDAP kullanıcı eşlemeleri sayfasını kontrol ederek kullanıcıları kimlik doğrulamaya çalıştığında, meşru kurumsal LDAP sunucusu yerine saldırganın sahte LDAP sunucusuna bağlanır. Heiland, bu, saldırganın net metin LDAP hizmet kimlik bilgilerini yakalamasının yolunu açtı.
CVE-2024-12511, savunmasız bir Xerox Versalink C7025 yazıcısında SMB veya FTP tarama işlevi etkinleştirildiğinde benzer kimlik bilgisi yakalamasına izin verir. Yönetici düzeyinde erişimi olan bir saldırgan, SMB veya FTP sunucusunun IP adresini kendi kötü amaçlı IP’lerine değiştirebilir ve SMM veya FTP kimlik doğrulama kimlik bilgilerini yakalayabilir.
Bir saldırganın savunmasız bir yazıcıyı keşfetmesi için gereken tek şey, bir web tarayıcısı aracılığıyla etkilenen bir Xerox MFP cihazına bağlanmak, varsayılan şifrenin hala etkin olduğunu doğrulamak ve cihazın LDAP ve/veya SMB hizmetleri için yapılandırıldığından emin olmaktır. Karanlık okuma anlatıyor. “Ayrıca, SNMP aracılığıyla bir MFP’yi sorgulamak ve LDAP hizmetlerinin etkinleştirilip etkinleştirilmediğini belirlemek genellikle mümkündür.”
Kuruluşların riski, eğer kötü niyetli bir aktör bir iş ağına herhangi bir düzeyde erişim elde edecek olsaydı, Active Directory kimlik bilgilerini tespit edilmeden kolayca hasat etmek için geri geçiş saldırısını kullanabilecekleridir. Bu daha sonra, tehlikeye atılan bir ortamda daha kritik Windows sistemlerine dönmelerine izin verecektir. “Ne yazık ki,” diye ekliyor, “Etki alanı yönetici kimlik bilgilerini içeren MFP aygıtlarında LDAP ayarları bulmak da nadir değil”, potansiyel olarak bir kuruluşun Windows ortamının tam kontrolünü sağlayabilir.
Heiland, “MFP cihazlarındaki LDAP ve SMB ayarları genellikle Windows Active Directory kimlik bilgileri içerdiğinden, başarılı bir saldırı Windows Dosya Hizmetlerine, Etki Alanı Bilgilerine, E -posta Hesaplarına ve Veritabanı Sistemlerine kötü amaçlı bir aktör erişimi sağlayacaktır.” “LDAP veya SMB için bir etki alanı yönetici hesabı veya yüksek ayrıcalıklara sahip bir hesap kullanılmışsa, bir saldırgan kuruluşun pencereleri ortamındaki potansiyel olarak her şeye sınırsız erişime sahip olurdu.”
Tehdit aktörleri için ideal bir senaryo
Saviynt baş güven memuru Jim Routh, bir saldırganın bu tür güvenlik açıklarından yararlanmak için nispeten sofistike teknik becerilere ihtiyacı olacağını söyledi. Ancak yapabilenler için LDAP güvenlik açığı, tüm yönetici profillerinin ve kimlik bilgilerinin bulunduğu Windows Active Directory’ye erişim sağlar. “Tehdit oyuncusu için ideal senaryo” diyor. İnternete bağlı her cihazın, siber suçlu için bir saldırı yüzeyi sunan yapılandırma seçenekleri vardır. “
Xerox var Yamalı bir versiyon yayınladı Etkilenen Xerox Versalink MFP ürün yazılımı, müşteri kuruluşlarının sorunları güncellemesine ve düzeltmesine olanak tanır. Hemen yama yapamayan kuruluşlar, “Yönetici hesabı için karmaşık bir şifre ayarlamalı ve ayrıca Rapid7 bloguna göre, LDAP veya Dosyaya SMB hizmetleri için bir etki alanı yönetici hesabı gibi yüksek ayrıcalıklara sahip Windows kimlik doğrulama hesaplarını kullanmaktan kaçınmalıdır.” postalamak. Diyerek şöyle devam etti: “Ayrıca, kuruluşlar kimlik doğrulanmamış kullanıcılar için uzaktan kontrol konsolunu etkinleştirmekten kaçınmalıdır.”
Yazıcı güvenlik açıkları, uzak ve hibrit çalışma modellerindeki artış nedeniyle birçok kuruluş için büyüyen bir sorundur. Quocirca tarafından 2024 yılında yapılan bir çalışma bulundu Kuruluşların% 67’si bir önceki yılın% 61’inden bir yazıcı güvenlik açığına bağlı bir güvenlik olayı yaşamıştı. Trend’e rağmen, birçok kuruluş yazıcıyla ilgili tehditleri hafife almaya devam ederek yumuşak nokta Saldırganların hedef alması için.
