Investigadores de seguridad han hallado vulnerabilidades de seguridad en los modelos de impresoras multifunción de Xerox VersaLink C7025.
Estas brechas podrían facilitar a atacantes capturar credenciales de autenticación mediante ataques de devolución a través del protocolo ligero de acceso a directorios (LDAP) y servicios SMB/FTP, según se hace eco The Hacker News.
Deral Heiland, investigador de seguridad de Rapid7, señala que este ataque de estilo pass-back aprovecha una vulnerabilidad que facilita a un actor malicioso alterar la configuración de la impresora multifunción y hacer que esta le envíe credenciales de autenticación.
"Si un actor malintencionado puede aprovechar estos problemas, podría capturar credenciales para Windows Active Directory. Esto significa que podría moverse lateralmente dentro del entorno de una organización y comprometer otros servidores y sistemas de archivos críticos de Windows", advierte Heiland.
Dos agujeros
En principio se han hallado dos vulnerabilidades, que afectarían a las versiones de firmware 57.69.91 y anteriores.
La primera de ellas es la CVE-2024-12510, con una puntuación CVSS de 6,7. Si un actor de amenazas la explota de manera exitosa la información de autenticación puede redirigirse a un servidor no autorizado, exponiéndose las credenciales. Esto, no obstante, requiere que el atacante disponga de acceso a la página de configuración del protocolo ligero de acceso a directorios y que LDAP se use para la autenticación.
Por otro lado, la vulnerabilidad CVE-2024-12511 permite que un actor malicioso obtenga acceso a la configuración de la libreta de direcciones del usuario para modificar la dirección IP del servidor de SMB o FTP y hacer que apunte a un host bajo su control, lo que provoca que se capturen las credenciales de autenticación SMB o FTP durante las operaciones de escaneo de archivos.
"Para que este ataque tenga éxito, el atacante necesita que se configure una función de escaneo SMB o FTP en la libreta de direcciones del usuario, así como acceso físico a la consola de la impresora o acceso a la consola de control remoto a través de la interfaz web", señaló Heiland. "Esto puede requerir acceso de administrador a menos que se haya habilitado el acceso a nivel de usuario a la consola de control remoto", añade.
El investigador llevó a cabo una divulgación responsable y Xerox ya corrigió las vulnerabilidades como parte de su paquete de servicio lanzado a finales del mes pasado.