Xerox Versalink yazıcıları geri geçiş saldırılarına karşı savunmasızdır. Rapid7 LDAP & SMB kusurlarını keşfeder (CVE-2024-12510 & CVE-2024-12511). Ürün yazılımını şimdi güncelleyin!
Rapid7 araştırmacıları Xerox Versalink C7025 çok işlevli yazıcılarda güvenlik zayıf yönlerini ortaya çıkardı, özellikle ürün yazılımı sürüm 57.69.91 ve önceki modelleri çalıştırıyor. CVE-2024-12510 ve CVE-2024-12511 olarak adlandırılan bu güvenlik açıkları, cihazları “geri geçiş” saldırılarına maruz bırakır.
Rapid7’nin hackread.com ile paylaşılan araştırmasına göre, bunlar, yazıcının yönetim işlevlerini tehlikeye atan kötü niyetli bir aktörün, kimlik doğrulama isteklerini kontrolleri altındaki bir sisteme yönlendirmesine izin veren bir tür saldırı türüdür. Bu, Hafif Dizin Erişim Protokolü (LDAP), Sunucu Mesaj Bloğu (SMB) ve Dosya Aktarım Protokolü (FTP) gibi hizmetlerle ilgili ayarları değiştirerek elde edilebilir.
LDAP güvenlik açığı, bir saldırganın yazıcının yapılandırması içindeki LDAP sunucusunun IP adresini değiştirmesine izin verir. O zaman bir LDAP aramasını tetikleyerek, yazıcı farkında olmadan kimlik doğrulama kimlik bilgilerini saldırganın Rogue sunucusuna gönderir. Saldırgan daha sonra bu kimlik bilgilerini net bir metinde yakalayabilir. Benzer şekilde, SMB/FTP güvenlik açığı, kullanıcının adres defteri yapılandırmasında SMB veya FTP sunucusunun IP adresinin değiştirilmesine izin verir.
Resim, bir saldırganın bir Rogue sunucusuna yönlendirme denemelerini yönlendirmek için sunucu IP adresini nasıl değiştirebileceğini ve böylece kimlik bilgilerini çalabileceğini gösterir. “MFPService” kullanıcı adı ile önceden tanımlanmış giriş kimlik bilgileri kimlik doğrulama için kullanılır.
Parola kendisi gizlenirken, varlığı, yazıcının LDAP sunucusuna doğrulanacak şekilde yapılandırıldığını gösterir, bu kimlik bilgilerinin bir saldırgan tarafından yakalanabileceği geri geçiş güvenlik açığının merkezinde yer alır.
Bu, saldırgan kontrolündeki sunucuya kimlik doğrulama kimlik bilgileri gönderen bir tarama işlemi işlemini tetikleyerek kullanılabilir. SMB durumunda, bu netntlmv2 el sıkışmalarını ortaya çıkarabilir ve potansiyel olarak Active Directory dosya sunucularından daha fazla uzlaşmaya izin verir. FTP için kimlik bilgileri net metinle iletilir.
Bu güvenlik açıklarının başarılı bir şekilde kullanılması, yazıcının ayarlarına yönetici erişim veya bazı durumlarda, kullanıcı düzeyinde uzaktan kumanda etkinleştirilirse, konsola fiziksel erişim veya web arayüzü aracılığıyla uzaktan erişim gerektirir.
Bu güvenlik açıklarının etkisi önemlidir, çünkü saldırganlar Windows Active Directory için olanlar da dahil olmak üzere hassas kimlik bilgilerine potansiyel olarak erişebilir. Bu, kritik sunuculardan ve sistemleri tehlikeye atarak bir ağdaki yanal hareketi mümkün kılabilir.
Rapid7, bu güvenlik açıklarını Xerox’a açıkladı, açıklama zaman çizelgesini koordine etti ve yamaların etkinliğini doğrulamak için satıcı ile birlikte çalıştı. Etkilenen Xerox Versalink yazıcılarını kullanan kuruluşlar derhal en son yamalı ürün yazılımı sürümüne yükseltilmelidir.
Hemen yama yapmanın mümkün olmaması durumunda, yazıcının yönetim hesabı için güçlü ve benzersiz bir şifre ayarlanması, LDAP veya dosya tarama hizmetleri için etki alanı yöneticisi hesaplarının kullanımından kaçınmanız ve kimlik doğrulanmamış kullanıcılar için uzaktan konsol erişimini devre dışı bırakmanız önerilir.