Kurumsal sınıf Xerox Versalink C7025 çok işlevli yazıcılarda (MFP’ler) birden fazla güvenlik açığı, saldırganların Hafif Dizin Erişim Protokolü (LDAP) ve Sunucu Mesaj Bloğu (SMB) hizmetlerinden kimlik doğrulama kimlik bilgilerini kesmesini sağlar.
CVE-2024-12510 ve CVE-2024-12511 olarak adlandırılan bu kusurlar, kötü niyetli aktörlerin “geri saldırıları” yürütmesine izin verir-cihaz kimlik doğrulama girişimlerini saldırgan kontrollü sistemlere yönlendiren bir teknik.
Rapid7 Müdür IoT araştırmacısı Deral Heiland tarafından keşfedilen güvenlik açıkları, Xerox’un yaygın olarak konuşlandırılan Enterprise yazıcılarında 57.69.91 ve önceki ürün yazılımı sürümlerini etkiliyor.
LDAP Geri Sömürü (CVE-2024-12510)
LDAP güvenlik açığı, yazıcının web arayüzüne yönetici erişimi olan saldırganların LDAP Server IP adresini bir haydut ana bilgisayara yeniden yapılandırmasını sağlar.
Değiştirildikten sonra, yazıcının “Kullanıcı Eşlemeleri” özelliği aracılığıyla başlatılan herhangi bir LDAP kimlik doğrulama denemesi, net metin kimlik bilgilerini saldırganın sunucusuna iletir.
Bu saldırı, merkezi kullanıcı kimlik doğrulaması için LDAP kullanan kuruluşları avlar ve şunları gerektirir:
- Normal işlemler için yazıcıda geçerli LDAP yapılandırması
- Yazıcının Yönetici Kimlik Bilgilerinden Uzlaşma (Varsayılan veya Zayıf Şifreler)
- LDAP Server ayarlarını değiştirmek için ağ erişimi
Güvenlik analistleri, Python tabanlı bir LDAP dinleyicisi kullanarak saldırıyı gösterdi ve yazıcı tarafından başlatılan kimlik doğrulama istekleri sırasında kimlik bilgilerini gerçek zamanlı olarak yakaladı.
Hasat edilen kimlik bilgileri, saldırganlara hassas kullanıcı özellikleri ve izinler içeren kurumsal dizinlere erişim sağlayabilir.
SMB/FTP kimlik bilgisi müdahalesi (CVE-2024-12511)
İkincil güvenlik açığı, yazıcının tarama işlevselliğini hedefler. Cihazın adres defterindeki SMB/FTP sunucu girişlerini değiştiren saldırganlar, dosya taramalarını kötü amaçlı ana bilgisayarlara yönlendirebilir. Bu teknik yakalar:
- SMB kullanırken netntlmv2 karmalar, Active Directory’ye karşı röle saldırılarını etkinleştirerek
- FTP kimlik doğrulaması yapılandırılırsa, metin kimlik bilgilerini temizleyin
Metasploit’in Yardımcı/Sunucusu/Capture/SMB modülü, saldırganların daha sonra çevrimdışı veya etki alanına katılan sistemlere rölene kırdığı netntlmv2 zorluklarını toplayabilir.
Araştırmacıların testi, yazıcılar tarama-koza iş akışları için ayrıcalıklı hizmet hesapları kullandığında etki alanı yönetici hesaplarından başarılı bir şekilde ödün verildi.
İşletme Etkisi ve Saldırı Senaryoları
Bu güvenlik açıkları aşağıdakiler nedeniyle kritik riskler sunmaktadır:
- Yanal hareket potansiyeli: Meyveden çıkarılan etki alanı kimlik bilgileri, saldırganların dosya sunucularına, ERP sistemlerine ve bulut kaynaklarına yazıcılardan dönmesini sağlar.
Kalıcılık fırsatları: Yakalanan KOBİ karmalar altın bilet saldırılarını ve kalıcı reklam tabanlarını kolaylaştırır.
Fiziksel Erişim Sömürü: Saldırganlar, ağ erişimine ihtiyaç duymadan yazıcının kontrol paneli aracılığıyla yerel olarak saldırıları yürütebilir.
Gösterilen bir saldırı zincirinde, araştırmacılar varsayılan kimlik bilgileri (Xerox cihazları genellikle fabrika temerrütlerini korur), değiştirilmiş LDAP ayarlarını saldırgan IP ile değiştirdi, LDAP senkronizasyonunu “test bağlantısı” özelliği ile tetikledi ve PII içeren İK veritabanlarına erişim için yakalanan kimlik bilgilerini kullandı.
Azaltma stratejileri
Xerox, her iki CVE’yi de ele alan yamalı ürün yazılımı (sürüm 57.69.92+) yayınladı. Hemen yama uygulanamazsa:
- Tüm Yazıcı Hizmet Hesabı Şifrelerini Döndür
- Yönetici Konsol üzerinden kullanılmayan protokolleri (FTP/SMBV1) devre dışı bırakın
- Yazıcı iletişimini temel bağlantı noktalarına kısıtlayan ağ segmentasyonunu uygulayın
- Yazıcı Yönetici Erişim için MFA’yı etkinleştirin
Artık yamalı ürün yazılımı mevcutken, kuruluşlar tehdit aktörleri vahşi doğada bu güvenlik açıklarından yararlanmadan önce bu saldırı vektörünü kapatmak için hızlı hareket etmelidir.