Kwetsbaarheden van de beveiliging zijn bekendgemaakt in Xerox Versalink C7025 multifunctionele printers (MFP’s) waarmee aanvallers de referenties van authenticatie kunnen vastleggen via pass-back-aanvallen via Lightweight Directory Access Protocol (LDAP) en SMB/FTP-services.
“Deze aanval in pass-back-stijl maakt gebruik van een kwetsbaarheid waarmee een kwaadwillende acteur de configuratie van de MFP kan wijzigen en ervoor zorgt dat het MFP-apparaat authenticatie-referenties terugstuurt naar de kwaadaardige acteur,” zei Rapid7 Security Reseal Heiland.
“Als een kwaadwillende acteur deze problemen met succes kan benutten, zou het hen in staat stellen om referenties vast te leggen voor Windows Active Directory. Dit betekent dat ze vervolgens lateraal kunnen bewegen binnen de omgeving van een organisatie en andere kritieke Windows -servers en bestandssystemen kunnen compromitteren.”
De geïdentificeerde kwetsbaarheden, die van invloed zijn op firmwareversies 57.69.91 en eerder, worden hieronder vermeld –
Succesvolle exploitatie van CVE-2024-12510 kan mogelijk maken dat authenticatie-informatie kan worden omgeleid naar een malafide server, waardoor inloggegevens mogelijk worden blootgelegd. Dit vereist echter dat een aanvaller toegang krijgt tot de LDAP -configuratiepagina en dat LDAP wordt gebruikt voor authenticatie.
CVE-2024-12511 biedt een kwaadaardige acteur ook toegang tot de configuratie van het gebruikersadresboek om het IP-adres van de SMB- of FTP-server te wijzigen en te wijzen op een host onder hun controle, waardoor SMB- of FTP-authenticatiegegevens worden vastgelegd Tijdens bestandsscanbewerkingen.
“Om deze aanval succesvol te laten zijn, vereist de aanvaller een SMB- of FTP-scanfunctie om te worden geconfigureerd in het adresboek van de gebruiker, evenals fysieke toegang tot de printerconsole of toegang tot externe-controleconsole via de webinterface,” merkte Heiland op . “Dit kan admin-toegang vereisen, tenzij de toegang van gebruikersniveau tot de externe-controleconsole is ingeschakeld.”
Na verantwoorde openbaarmaking op 26 maart 2024, werden de kwetsbaarheden behandeld als onderdeel van Service Pack 57.75.53 die eind vorige maand werd uitgebracht voor Versalink C7020, 7025 en 7030 series printers.
Als onmiddellijke patching geen optie is, wordt gebruikers aanbevolen om een complex wachtwoord in te stellen voor het beheerdersaccount, vermijd het gebruik van Windows-authenticatieaccounts met verhoogde privileges en schakel de externe-controleconsole uit voor niet-geautoreerde gebruikers.
De ontwikkeling komt als een spiegelende oprichter en CEO Peyton Smith beschreef een niet-geauthenticeerde SQL-injectie-kwetsbaarheid die van invloed is op een veel geïmplementeerde gezondheidszorgsoftware met de naam HealthStream MSOW (CVE-2024-56735) die zou kunnen leiden tot een volledige database-compromis, waardoor bedreigingsactoren toegang hebben tot gevoelige gegevens van 23 Gezondheidszorgorganisaties van het openbare internet.
Het bedrijf zei dat het 50 instanties van op internet blootgestelde MSOW-instanties identificeerde, waarvan 23 vatbaar zijn voor tekortkomingen van de beveiliging.
De kwetsbaarheid kan toestaan dat “de hele database in de band kan worden geretourneerd, wat betekent dat een aanvaller de inhoud van de platte tekst database in een HTTP-reactie kan ophalen van een vervaardigde SQL-injectie HTTP-lading,” zei Smith.
