Ciberseguridad 360 | Nuevas fallas en impresoras Xerox podrían permitir a atacantes capturar credenciales de Active Directory de Windows

Se han revelado vulnerabilidades de seguridad en las impresoras multifunci�n (MFP) Xerox VersaLink C7025 que podr�an permitir a atacantes capturar credenciales de autenticaci�n mediante ataques de devoluci�n mediante el Protocolo ligero de acceso a directorios (LDAP) y servicios SMB/FTP.

"Este ataque de estilo pass-back aprovecha una vulnerabilidad que permite a un actor malicioso alterar la configuraci�n de la MFP y hacer que el dispositivo MFP env�e credenciales de autenticaci�n al actor malicioso", dijo el investigador de seguridad de Rapid7, Deral Heiland .

"Si un actor malintencionado puede aprovechar estos problemas, podr�a capturar credenciales para Windows Active Directory. Esto significa que podr�a moverse lateralmente dentro del entorno de una organizaci�n y comprometer otros servidores y sistemas de archivos cr�ticos de Windows".

Las vulnerabilidades identificadas, que afectan a las versiones de firmware 57.69.91 y anteriores, se enumeran a continuaci�n:

CVE-2024-12510 (puntuaci�n CVSS: 6,7): ataque de devoluci�n a trav�s de LDAP
CVE-2024-12511 (puntuaci�n CVSS: 7,6): ataque de devoluci�n a trav�s de la libreta de direcciones del usuario

La explotaci�n exitosa de CVE-2024-12510 podr�a permitir que la informaci�n de autenticaci�n se redirija a un servidor no autorizado, lo que podr�a exponer las credenciales. Sin embargo, esto requiere que un atacante obtenga acceso a la p�gina de configuraci�n de LDAP y que LDAP se use para la autenticaci�n.

Del mismo modo, CVE-2024-12511 permite que un actor malicioso obtenga acceso a la configuraci�n de la libreta de direcciones del usuario para modificar la direcci�n IP del servidor SMB o FTP y hacer que apunte a un host bajo su control, lo que provoca que se capturen las credenciales de autenticaci�n SMB o FTP durante las operaciones de escaneo de archivos.

"Para que este ataque tenga �xito, el atacante necesita que se configure una funci�n de escaneo SMB o FTP en la libreta de direcciones del usuario, as� como acceso f�sico a la consola de la impresora o acceso a la consola de control remoto a trav�s de la interfaz web", se�al� Heiland. "Esto puede requerir acceso de administrador a menos que se haya habilitado el acceso a nivel de usuario a la consola de control remoto".

Tras una divulgaci�n responsable el 26 de marzo de 2024, las vulnerabilidades se abordaron como parte del Service Pack 57.75.53 lanzado a fines del mes pasado para las impresoras de las series VersaLink C7020, 7025 y 7030.

Si la aplicaci�n inmediata de parches no es una opci�n, se recomienda a los usuarios establecer una contrase�a compleja para la cuenta de administrador, evitar usar cuentas de autenticaci�n de Windows que tengan privilegios elevados y deshabilitar la consola de control remoto para usuarios no autenticados.

El desarrollo se produce cuando el fundador y director ejecutivo de Specular, Peyton Smith, detall� una vulnerabilidad de inyecci�n SQL no autenticada que afecta a un software de atenci�n m�dica ampliamente implementado llamado HealthStream MSOW (CVE-2024-56735) que podr�a conducir a un compromiso total de la base de datos, lo que permitir�a a los actores de amenazas acceder a datos confidenciales de 23 organizaciones de atenci�n m�dica desde Internet p�blico.

La compa��a dijo que identific� 50 casos de MSOW expuestos a Internet, de los cuales 23 son susceptibles a fallas de seguridad.

La vulnerabilidad podr�a permitir que "toda la base de datos pueda ser devuelta en banda, lo que significa que un atacante podr�a recuperar el contenido de la base de datos en texto simple en una respuesta HTTP desde una carga �til HTTP de inyecci�n SQL dise�ada", dijo Smith .

Fuente: TheHackerNews