資安研究人員揭露了Xerox VersaLink C7025 多功能印表機存在嚴重安全漏洞,駭客可透過輕量級目錄存取協定(LDAP)和 SMB/FTP 服務發動憑證回傳攻擊(pass-back attacks),進而竊取使用者驗證憑證。這些漏洞可能導致企業網路安全受到嚴重威脅。
漏洞細節與影響
Rapid7 資安研究員 Deral Heiland 表示,這種回傳式攻擊利用了印表機的設定漏洞,讓攻擊者能夠修改多功能印表機的設定,使設備將驗證憑證回傳給惡意攻擊者。一旦攻擊者成功利用這些漏洞,就能取得 Windows Active Directory 的憑證,進而在組織的網路環境中進行橫向移動,危及其他重要的 Windows 伺服器和檔案系統。
這次發現的兩個漏洞影響韌體版本 57.69.91 及更早版本的Xerox 印表機。
- 第一個漏洞 CVE-2024-12510(CVSS 評分:6.7)涉及 LDAP 的回傳攻擊。此漏洞的利用條件包括攻擊者需要能夠存取 LDAP 設定頁面,且系統必須使用 LDAP 進行驗證。一旦攻擊成功,驗證資訊就會被重新導向至惡意伺服器,導致憑證外洩。
- 第二個漏洞 CVE-2024-12511(CVSS 評分:7.6)則涉及使用者通訊錄的安全問題。攻擊者可以修改使用者通訊錄中的 SMB 或 FTP 伺服器 IP 位址,使其指向受攻擊者控制的主機。在進行檔案掃描操作時,SMB 或 FTP 驗證憑證就會被竊取。然而,這種攻擊需要攻擊者能夠實體接觸印表機控制台,或是透過網頁介面遠端控制主控台。如果未啟用一般使用者的遠端控制主控台存取權限,則可能需要管理員權限才能實施攻擊。
企業防護建議 Xerox 公司已於 2024 年 3 月底發布 Service Pack 57.75.53,修補了 VersaLink C7020、7025 和 7030 系列印表機的這些漏洞。資安專家建議企業用戶儘快更新印表機韌體,以防止潛在的攻擊。
若企業暫時無法進行韌體更新,資安專家建議緊急防護措施,包含:應立即為印表機的管理員帳戶設定高強度密碼,密碼應包含足夠的長度和複雜度,避免使用容易被猜測的簡單密碼。其次,企業應避免使用具有提升權限的 Windows 驗證帳戶來存取印表機,以降低潛在的影響範圍。此外,應立即停用所有未經認證用戶的遠端控制主控台功能,限制潛在攻擊者的存取管道。
企業網路安全實踐
在這次漏洞事件的基礎上,專家建議企業應該重新審視其網路印表機的安全配置。企業應定期檢查印表機的安全設定,包括認證機制、存取控制和網路配置。同時,應建立印表機安全管理制度,定期更新韌體,並監控異常活動。
企業也應考慮實施網路分段,將印表機放置在受限制的網路區段中,並限制其與其他關鍵系統的通訊。對於需要存取印表機的用戶,應實施最小權限原則,只授予必要的存取權限。
此外,企業應加強員工的資安意識培訓,特別是關於印表機安全的認知。許多企業往往忽視印表機等周邊設備的安全風險,但這些設備同樣可能成為駭客入侵企業網路的跳板。
Xerox 公司表示,將持續加強產品的安全性,並鼓勵資安研究人員通過負責任的漏洞揭露計畫報告發現的安全問題。企業用戶則應保持警惕,及時關注廠商發布的安全公告,並採取必要的防護措施。
本文轉載自thehackernews。