Специалисты по кибербезопасности из компании Rapid7 выявили две серьезные уязвимости в корпоративных многофункциональных устройствах Xerox VersaLink. Обнаруженные проблемы безопасности (CVE-2024-12510 и CVE-2024-12511) позволяют злоумышленникам похищать учетные данные пользователей через атаки типа pass-back, нацеленные на службы LDAP и SMB/FTP.
Механизм эксплуатации уязвимостей
Первая уязвимость (CVE-2024-12510) позволяет атакующим перехватывать аутентификационные данные путем перенаправления LDAP-запросов на подконтрольный сервер. Для успешной эксплуатации требуется доступ к странице конфигурации LDAP и использование LDAP-аутентификации в системе. Особую опасность представляет возможность компрометации учетных данных Windows Active Directory, что потенциально открывает доступ к критически важной инфраструктуре организации.
Риски для корпоративной безопасности
Вторая уязвимость (CVE-2024-12511) затрагивает механизм работы с адресной книгой пользователя. Злоумышленник может модифицировать IP-адрес SMB- или FTP-сервера, используемого для операций сканирования, что приводит к перехвату учетных данных при аутентификации. Для реализации атаки необходим либо физический доступ к консоли принтера, либо доступ через веб-интерфейс управления.
Затронутые устройства и меры защиты
Уязвимости обнаружены в устройствах с прошивкой версии 57.69.91 и ниже, включая модели серий VersaLink C7020, C7025 и C7030. Xerox выпустила обновление 57.75.53, устраняющее выявленные проблемы безопасности. Администраторам настоятельно рекомендуется установить обновление в кратчайшие сроки.
При невозможности немедленного обновления рекомендуется предпринять следующие меры безопасности: установить сложный пароль администратора, исключить использование привилегированных учетных записей Windows для работы с МФУ и отключить удаленное управление для неаутентифицированных пользователей. Эти меры значительно снизят риск успешной эксплуатации уязвимостей злоумышленниками.
