Хакеры крадут корпоративные пароли через принтер Xerox

Исследователи из компании Rapid7 обнаружили в многофункциональных принтерах Xerox VersaLink C7025 сразу две уязвимости, позволяющие злоумышленникам перехватывать учётные данные с помощью Pass-back атак. Уязвимости затрагивают устройства с прошивкой версии 57.69.91 и ранее.

Первая уязвимость ( CVE-2024-12510 , CVSS 6.7) позволяет злоумышленнику изменить конфигурацию принтера, перенаправляя учётные данные пользователей на подконтрольный сервер через LDAP. Вторая ( CVE-2024-12511 , CVSS 7.6) связана с адресной книгой пользователя, позволяя изменять IP-адрес сервера SMB или FTP и перехватывать учётные данные при сканировании файлов.

Для успешной эксплуатации злоумышленнику требуется доступ к веб-интерфейсу управления принтером или физический доступ к устройству. В случае CVE-2024-12511 атака возможна, если на устройстве настроено сканирование по SMB или FTP.

О проблеме стало известно 26 марта 2024 года, после чего Xerox выпустила обновление Service Pack 57.75.53 для моделей VersaLink C7020, C7025 и C7030. Пользователям, не имеющим возможности оперативно установить патч, рекомендуется установить сложный пароль администратора, избегать использования учётных записей Windows с повышенными привилегиями и отключить веб-доступ к консоли управления для неаутентифицированных пользователей.

Обнаруженные уязвимости в принтерах Xerox подчёркивают важность своевременного обновления программного обеспечения и усиления мер безопасности для защиты конфиденциальных данных. Даже устройства, кажущиеся незначительными в корпоративной сети, могут стать точкой входа для злоумышленников. Лишь постоянный контроль, ограничение доступа и использование сложных паролей помогут минимизировать риски и защитить уязвимые устройства от кибератак.