Kerentanan keamanan telah diungkapkan dalam Xerox Versalink C7025 Printer Multifungsi (MFP) yang dapat memungkinkan penyerang untuk menangkap kredensial otentikasi melalui serangan pass-back melalui Lightweight Directory Access Protocol (LDAP) dan Layanan SMB/FTP.
“Serangan gaya pass-back ini memanfaatkan kerentanan yang memungkinkan aktor jahat untuk mengubah konfigurasi MFP dan menyebabkan perangkat MFP mengirim kredensial otentikasi kembali ke aktor jahat,” kata peneliti keamanan Rapid7 Deral Heiland.
“Jika aktor jahat dapat berhasil memanfaatkan masalah ini, itu akan memungkinkan mereka untuk menangkap kredensial untuk Windows Active Directory. Ini berarti mereka kemudian dapat bergerak secara lateral dalam lingkungan organisasi dan membahayakan server Windows dan sistem file penting lainnya.”
Kerentanan yang diidentifikasi, yang memengaruhi versi firmware 57.69.91 dan sebelumnya, tercantum di bawah ini –
Eksploitasi yang berhasil dari CVE-2024-12510 dapat memungkinkan informasi otentikasi diarahkan ke server nakal, berpotensi mengekspos kredensial. Namun, ini mengharuskan penyerang untuk mendapatkan akses ke halaman konfigurasi LDAP dan bahwa LDAP digunakan untuk otentikasi.
CVE-2024-12511, Demikian juga, memungkinkan aktor jahat untuk mendapatkan akses ke konfigurasi buku alamat pengguna untuk memodifikasi alamat IP SMB atau server FTP dan membuatnya menunjuk ke host di bawah kendali mereka, menyebabkan kredensial otentikasi SMB atau FTP ditangkap untuk ditangkap untuk ditangkap untuk ditangkap untuk ditangkap untuk ditangkap untuk ditangkap untuk ditangkap untuk ditangkap untuk ditangkap untuk ditangkap untuk ditangkap oleh SMB atau FTP untuk ditangkap Selama operasi pemindaian file.
“Agar serangan ini berhasil, penyerang memerlukan fungsi pemindaian SMB atau FTP untuk dikonfigurasi dalam buku alamat pengguna, serta akses fisik ke konsol printer atau akses ke konsol kontrol jarak jauh melalui antarmuka web,” Heiland mencatat . “Ini mungkin memerlukan akses admin kecuali jika akses tingkat pengguna ke konsol kontrol jarak jauh telah diaktifkan.”
Mengikuti pengungkapan yang bertanggung jawab pada 26 Maret 2024, kerentanan tersebut ditangani sebagai bagian dari Paket Layanan 57.75.53 yang dirilis akhir bulan lalu untuk printer seri Versalink C7020, 7025, dan 7030.
Jika penambalan segera bukanlah opsi, pengguna disarankan untuk menetapkan kata sandi yang kompleks untuk akun admin, hindari menggunakan akun otentikasi Windows yang memiliki hak istimewa yang ditinggikan, dan nonaktifkan konsol kontrol jarak jauh untuk pengguna yang tidak terau otentikasi.
Perkembangan ini terjadi ketika pendiri dan CEO Specular Peyton Smith merinci kerentanan injeksi SQL yang tidak authenticated yang mempengaruhi perangkat lunak layanan kesehatan yang banyak digunakan bernama HealthStream MSOW (CVE-2024-56735) yang dapat mengarah pada kompromi database penuh, yang memungkinkan aktor ancaman untuk mengakses data sensitif 23 dari 23 Organisasi perawatan kesehatan dari internet publik.
Perusahaan itu mengatakan mengidentifikasi 50 contoh dari contoh MSOW yang terpapar Internet, di mana 23 rentan terhadap kekurangan keamanan.
Kerentanan dapat memungkinkan “seluruh database dapat dikembalikan dalam band, yang berarti penyerang dapat mengambil konten basis data plaintext dalam respons HTTP dari muatan HTTP injeksi SQL yang dibuat,” kata Smith.
