Поделиться
«Дыры» в принтерах и МФУ Xerox открывают хакерам доступ ко всей корпоративной сети
Две уязвимости позволяют, при соблюдении ряда условий, захватить контроль над Windows Active Directory и продолжить передвижение по локальной сети. Патчи доступны уже с конца января.
Обратный пас - и гол!
В программных оболочках многофункциональных печатающих устройствах Xerox VersaLink C7025 выявлены уязвимости, которые позволяют перехватывать реквизиты аутентификации Windows Active Directory.
Как установили эксперты компании Rapid7, используя протокол Lightweight Directory Access Protocol и сервисы SMB/FTP, потенциальные злоумышленники могут провести атаку разновидности «обратный пас» и получить доступ к незашифрованным реквизитам доступа к Active Directory. Это, в свою очередь, открывает им возможности скрытно перемещаться по сетевому окружению организации и компрометировать другие критические системы под управлением Windows, не исключая и серверов.
Обе уязвимости - CVE-2024-12510 и CVE-2024-12511 - оцениваются как среднеопасные. Первая получила оценку 6,7 балла по шкале CVSS, вторая - 7,6 балла.
Успешная эксплуатация CVE-2024-12510 позволяет перенаправить данные, связанные с аутентификацией, на сторонний сервер, но только в случае, если у злоумышленников есть доступ к странице настроек LDAP, и именно этот протокол используется для авторизации.
В свою очередь, уязвимость CVE-2024-12511 обеспечивает злоумышленникам возможность получения доступа к настройкам адресной книги и позволяет модифицировать настройки SMB- или FTP-сервера таким образом, чтобы переадресовывать соединения на хост под контролем злоумышленников. Это позволит перехватить реквизиты доступа уже к AD.
Эксплуатация, впрочем, возможна только, если у пользователя настроена функция сканирования SMB или FTP в адресной книге, а у злоумышленника есть физический доступ к консоли управления принтеров или сетевой доступ к веб-интерфейсу.
Уязвимости устраняются сервис-паком 57.75.53, который Xerox выпустил в конце января для устройств VersaLink C7020, 7025 и 7030.
Проблема лишнего доступа
Если обновить эти МФУ в корпоративной сети не представляется возможным на данный момент, необходимо задать насколько возможно сложный пароль для административного аккаунта, избегать использования аккаунтов Windows с повышенными привилегиями и отключить удаленный доступ для неавторизованных пользователей.
«Самым слабым местом, судя по описанию, является сетевой интерфейс управления: если он не закрыт файерволлом, как это полагается делать, риск успешной атаки возрастает многократно», - указывает Никита Павлов, эксперт по информационной безопасности компании SEQ.
Эксперт отметил также, что сравнительно низкие оценки угроз не должны вводить никого в заблуждение: вероятность атаки на них значительно выше нуля.
Поделиться
Короткая ссылка
