Foram divulgadas vulnerabilidades de segurança em impressoras multifuncionais Xerox VersaLink C7025 (MFPs) que poderiam permitir que atacantes capturassem credenciais de autenticação através de ataques de pass-back via Lightweight Directory Access Protocol (LDAP) e serviços SMB/FTP.
"Esse tipo de ataque de pass-back explora uma vulnerabilidade que permite a um ator malicioso alterar a configuração do MFP e fazer com que o dispositivo MFP envie as credenciais de autenticação de volta para o ator malicioso", disse Deral Heiland, pesquisador de segurança da Rapid7.
"Se um ator malicioso conseguir aproveitar esses problemas com sucesso, ele poderá capturar credenciais para o Windows Active Directory.
Isso significa que eles poderiam então se mover lateralmente dentro do ambiente de uma organização e comprometer outros servidores críticos do Windows e sistemas de arquivos."
As vulnerabilidades identificadas, que afetam versões de firmware 57.69.91 e anteriores, estão listadas abaixo -
CVE-2024-12510 (pontuação CVSS: 6.7) - Ataque de pass-back via LDAP
CVE-2024-12511 (pontuação CVSS: 7.6) - Ataque de pass-back via livro de endereços do usuário
A exploração bem-sucedida do CVE-2024-12510 poderia permitir que informações de autenticação fossem redirecionadas a um servidor maligno, potencialmente expondo credenciais.
Isso, no entanto, requer que um atacante obtenha acesso à página de configuração do LDAP e que o LDAP seja usado para autenticação.
O CVE-2024-12511, da mesma forma, permite que um ator malicioso obtenha acesso à configuração do livro de endereços do usuário para modificar o endereço IP do servidor SMB ou FTP e fazer com que ele aponte para um host sob seu controle, fazendo com que credenciais de autenticação SMB ou FTP sejam capturadas durante operações de escaneamento de arquivo.
"Para que esse ataque seja bem-sucedido, o atacante precisa que uma função de escaneamento SMB ou FTP esteja configurada no livro de endereços do usuário, bem como acesso físico ao console da impressora ou acesso ao console de controle remoto via interface web", observou Heiland.
"Isso pode requerer acesso de administrador, a menos que o acesso de nível de usuário ao console de controle remoto tenha sido habilitado."
Após a divulgação responsável em 26 de março de 2024, as vulnerabilidades foram abordadas como parte do Service Pack 57.75.53 lançado no mês passado para impressoras da série VersaLink C7020, 7025 e 7030.
Se a aplicação imediata do patch não for uma opção, recomenda-se aos usuários definir uma senha complexa para a conta do administrador, evitar usar contas de autenticação do Windows que tenham privilégios elevados e desativar o console de controle remoto para usuários não autenticados.
Esse desenvolvimento ocorre enquanto Peyton Smith, fundador e CEO da Specular, detalhou uma vulnerabilidade de injeção SQL não autenticada afetando um software de saúde amplamente implantado chamado HealthStream MSOW (CVE-2024-56735) que poderia levar a um comprometimento total do banco de dados, permitindo que atores de ameaças acessem dados sensíveis de 23 organizações de saúde da internet pública.
A empresa disse que identificou 50 instâncias do MSOW expostas na internet, das quais 23 são suscetíveis a deficiências de segurança.
A vulnerabilidade poderia permitir "que o banco de dados inteiro fosse retornado in-band, ou seja, um atacante poderia recuperar o conteúdo do banco de dados em texto simples em uma resposta HTTP de uma payload HTTP de injeção SQL elaborada", disse Smith.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...