Las vulnerabilidades de seguridad se han revelado en las impresoras multifunción (MFP) Xerox Versalink C7025 que podrían permitir a los atacantes capturar credenciales de autenticación a través de ataques de contracción a través del protocolo de acceso de directorio ligero (LDAP) y los servicios SMB/FTP.
«Este ataque de estilo de retroceso aprovecha una vulnerabilidad que permite a un actor malicioso alterar la configuración de la MFP y hacer que el dispositivo MFP envíe credenciales de autenticación al actor malicioso», dijo el investigador de seguridad de Rapid7, Deral Heiland.
«Si un actor malicioso puede aprovechar con éxito estos problemas, les permitiría capturar credenciales para Windows Active Directory. Esto significa que luego podrían moverse lateralmente dentro del entorno de una organización y comprometer otros servidores y sistemas críticos de Windows».
Las vulnerabilidades identificadas, que afectan las versiones de firmware 57.69.91 y anteriores, se enumeran a continuación –
La explotación exitosa de CVE-2024-12510 podría permitir que la información de autenticación se redirle a un servidor Rogue, lo que puede exponer credenciales. Esto, sin embargo, requiere que un atacante obtenga acceso a la página de configuración LDAP y que LDAP se usa para la autenticación.
CVE-2024-12511, del mismo modo, permite que un actor malicioso obtenga acceso a la configuración de la libreta de direcciones de usuario para modificar la dirección IP del servidor SMB o FTP y haga que apunte a un host bajo su control, lo que hace que se capturen las credenciales de autenticación de SMB o FTP Durante las operaciones de escaneo de archivos.
«Para que este ataque sea exitoso, el atacante requiere que una función de escaneo SMB o FTP esté configurada dentro de la libreta de direcciones del usuario, así como el acceso físico a la consola de la impresora o el acceso a la consola de control remoto a través de la interfaz web», señaló Heiland . «Esto puede requerir el acceso de administrador a menos que el acceso a nivel de usuario a la consola de control remoto se haya habilitado».
Después de la divulgación responsable el 26 de marzo de 2024, las vulnerabilidades se abordaron como parte del paquete de servicio 57.75.53 publicado a fines del mes pasado para las impresoras de la serie Versalink C7020, 7025 y 7030.
Si el parche inmediato no es una opción, se recomienda a los usuarios establecer una contraseña compleja para la cuenta de administración, evite usar cuentas de autenticación de Windows que tengan privilegios elevados y deshabiliten la consola de control remoto para usuarios no autorenticados.
El desarrollo se produce cuando el fundador y CEO de Specular, Peyton Smith, detalló una vulnerabilidad de inyección SQL no autenticada que afecta a un software de salud ampliamente implementado llamado HealthStream MSOW (CVE-2024-56735) que podría conducir a un compromiso de base de datos completo, lo que permite a los actores amenazados a acceder a los datos sensibles de 23 de 23 Organizaciones de atención médica de Internet público.
La compañía dijo que identificó 50 instancias de instancias de MSOW expuestas a Internet, de las cuales 23 son susceptibles a las deficiencias de seguridad.
La vulnerabilidad podría permitir «toda la base de datos podría devolverse en la banda, lo que significa que un atacante podría recuperar el contenido de la base de datos de texto sin formato en una respuesta HTTP de una carga útil HTTP de inyección SQL diseñada», dijo Smith.