Novas falhas em impressoras Xerox podem permitir que Hackers capturem credenciais do Windows Active Directory

Vulnerabilidades de segurança foram descobertas nas impressoras multifuncionais Xerox VersaLink C7025 (MFPs), permitindo que hackers capturem credenciais de autenticação por meio de ataques de pass-back explorando os serviços Lightweight Directory Access Protocol (LDAP) e SMB/FTP.

"Esse ataque de pass-back explora uma vulnerabilidade que permite a um hacker modificar a configuração da impressora e forçar o dispositivo a enviar credenciais de autenticação de volta para ele", explicou Deral Heiland, pesquisador de segurança da Rapid7.

Se exploradas com sucesso, essas falhas podem permitir que hackers obtenham credenciais do Windows Active Directory, possibilitando a movimentação lateral dentro da rede da organização e comprometendo servidores e sistemas críticos do Windows.

As vulnerabilidades identificadas afetam versões de firmware 57.69.91 e anteriores e estão listadas abaixo:

• CVE-2024-12510 (CVSS 6.7) – Ataque de pass-back via LDAP

• CVE-2024-12511 (CVSS 7.6) – Ataque de pass-back via livro de endereços do usuário

A CVE-2024-12510 pode ser explorada para redirecionar informações de autenticação para um servidor malicioso, potencialmente expondo credenciais. No entanto, esse ataque exige que o hacker tenha acesso à página de configuração do LDAP e que essa funcionalidade seja usada para autenticação.

Já a CVE-2024-12511 permite que o hacker modifique o endereço IP do servidor SMB ou FTP dentro da configuração do livro de endereços do usuário, fazendo com que o tráfego de autenticação SMB ou FTP seja direcionado para um servidor sob seu controle. Isso possibilita a captura de credenciais durante operações de digitalização de arquivos.

"Para que esse ataque seja bem-sucedido, é necessário que a funcionalidade de digitalização via SMB ou FTP esteja configurada no livro de endereços do usuário. Além disso, o hacker precisa ter acesso físico ao console da impressora ou acesso remoto ao painel de controle via interface web", destacou Heiland. "Isso pode exigir credenciais de administrador, a menos que o acesso ao console remoto tenha sido habilitado para usuários comuns."

Após uma divulgação responsável feita em 26 de março de 2024, a Xerox lançou uma correção nas atualizações do Service Pack 57.75.53, distribuídas no final do mês passado para as impressoras VersaLink C7020, 7025 e 7030.

Caso a atualização não possa ser aplicada imediatamente, recomenda-se que os usuários:

• Definam uma senha complexa para a conta de administrador

• Evitem usar contas do Windows com privilégios elevados para autenticação

• Desativem o acesso remoto ao console para usuários não autenticados

O alerta sobre essas vulnerabilidades vem pouco depois de Peyton Smith, CEO e fundador da Specular, revelar uma falha de SQL injection não autenticada no software de gestão hospitalar HealthStream MSOW (CVE-2024-56735). Essa vulnerabilidade pode resultar no comprometimento total do banco de dados, expondo informações sensíveis de 23 organizações de saúde diretamente na internet.

A empresa identificou 50 instâncias do MSOW expostas à internet, das quais 23 são vulneráveis. Segundo Smith, a falha permite que todo o conteúdo do banco de dados seja extraído em respostas HTTP a partir de uma carga maliciosa de SQL injection, colocando em risco dados sigilosos de diversas instituições médicas.

Via - THN