Дослідники з компанії Rapid7 виявили дві критичні вразливості в корпоративних багатофункціональних пристроях Xerox VersaLink, що створюють серйозну загрозу для безпеки організацій. Вразливості, зареєстровані як CVE-2024-12510 та CVE-2024-12511, дозволяють зловмисникам здійснювати атаки типу pass-back для викрадення облікових даних користувачів через служби LDAP та SMB/FTP.
Технічний аналіз вразливостей
Перша вразливість (CVE-2024-12510) становить особливу небезпеку для корпоративних мереж. Вона дозволяє атакуючому перехоплювати автентифікаційні дані шляхом перенаправлення LDAP-запитів на підконтрольний сервер. Найбільш критичним аспектом є можливість компрометації облікових даних Windows Active Directory, що може призвести до повного захоплення контролю над корпоративною інфраструктурою.
Механізми експлуатації та потенційні наслідки
Друга вразливість (CVE-2024-12511) пов’язана з функціоналом адресної книги користувача. Зловмисники можуть модифікувати налаштування IP-адрес SMB- або FTP-серверів, що використовуються для операцій сканування. Успішна експлуатація цієї вразливості призводить до перехоплення облікових даних під час автентифікації, що вимагає або фізичного доступу до пристрою, або доступу через веб-інтерфейс керування.
Рекомендації щодо усунення загроз
Вразливості присутні в пристроях серій VersaLink C7020, C7025 та C7030 з прошивкою версії 57.69.91 та нижче. Xerox випустила оновлення 57.75.53, яке усуває виявлені проблеми безпеки. Фахівці з кібербезпеки наполегливо рекомендують адміністраторам терміново встановити це оновлення.
У випадках, коли негайне оновлення неможливе, необхідно вжити додаткових заходів захисту: встановити надійний пароль адміністратора, уникати використання привілейованих облікових записів Windows для роботи з МФУ та обмежити віддалене керування неавтентифікованими користувачами. Впровадження цих заходів значно знизить ризики успішної експлуатації вразливостей та захистить корпоративну мережу від потенційних атак.
