Xerox-Drucker ermöglichen das Abfangen von Anmeldedaten
Schwerwiegende Sicherheitslücken in Xerox VersaLink C7025 Multifunktionsdruckern könnten Angreifern die Tür für raffinierte Pass-Back-Angriffe öffnen. Mit dieser Methode könnten sie über LDAP, SMB und FTP Windows-Active-Dierectory-Anmeldedaten abgreifen.
Bei diesem Pass-Back-Angriff nutzt ein Angreifer die Schwachstelle zur Manipulation der Druckerkonfiguration. Damit kann er das Gerät dazu bringen, dass es ihm Anmeldedaten übermittelt“, so der Sicherheitsexperte Deral Heiland von Rapid7. „Gelingt es einem Angreifer, diese Schwachstellen auszunutzen, kann er Anmeldedaten für Windows Active Directory stehlen. Damit wäre es ihm möglich, sich im Netzwerk des Unternehmens weiter auszubreiten und andere wichtige Windows-Server sowie Dateisysteme zu übernehmen.“
Die entdeckten Schwachstellen betreffen Firmware-Versionen 57.69.91 und älter und sind wie folgt gelistet:
- CVE-2024-12510 (CVSS-Wert: 6,7) – Pass-Back-Angriff über LDAP
• CVE-2024-12511 (CVSS-Wert: 7,6) – Pass-Back-Angriff über das Benutzer-Adressbuch
Ein erfolgreicher Angriff über die Schwachstelle CVE-2024-12510 könnte dazu führen, dass der Drucker Authentifizierungsdaten an einen manipulierten Server sendet, wodurch diese Informationen in die Hände von Angreifern gelangen. Dafür muss der Angreifer jedoch Zugriff auf die LDAP-Konfiguration des Druckers haben und LDAP muss für die Authentifizierung genutzt werden.
Die Schwachstelle CVE-2024-12511 ermöglicht es Angreifern, die Einstellungen des Benutzer-Adressbuchs zu verändern. Dadurch können sie die IP-Adresse eines SMB- oder FTP-Servers auf ein von ihnen kontrolliertes System umleiten, um Anmeldedaten abzufangen, die bei Datei-Scans übertragen werden. „Damit dieser Angriff funktioniert, muss eine SMB- oder FTP-Scan-Funktion im Adressbuch des Druckers eingerichtet sein“, so Heiland. „Außerdem benötigt der Angreifer physischen Zugriff auf die Druckerkonsole oder Fernzugriff über die Webschnittstelle. Das kann Administratorrechte erfordern – es sei denn, der Fernzugriff wurde für Benutzer mit geringeren Rechten freigegeben.“
Die Schwachstellen wurden am 26. März 2024 gemeldet und mit dem Service Pack 57.75.53 behoben, das Ende Januar für die Druckermodelle VersaLink C7020, C7025 und C7030 veröffentlicht wurde. Falls ein sofortiges Update nicht möglich ist, sollten Nutzer ein besonders sicheres Passwort für das Administratorkonto wählen, Windows-Konten mit hohen Rechten für die Anmeldung vermeiden und den Fernzugriff für nicht authentifizierte Benutzer deaktivieren.
Pass-Back-Angriffe auch im Gesundheitswesen
Diese Enthüllungen kommen zu einem Zeitpunkt, an dem der Gründer und Geschäftsführer von Specular, Peyton Smith, eine kritische SQL-Injection-Sicherheitslücke in der im Gesundheitswesen weit verbreiteten Software HealthStream MSOW (CVE-2024-56735) entdeckt hat. Diese Schwachstelle könnte es Angreifern ermöglichen, die gesamte Datenbank zu kompromittieren und über das öffentliche Internet auf sensible Informationen von 23 Gesundheitseinrichtungen zuzugreifen.
Laut dem Unternehmen gibt es 50 öffentlich erreichbare MSOW-Instanzen, von denen 23 für diese Sicherheitslücke anfällig sind. „Die Sicherheitslücke könnte es einem Angreifer ermöglichen, die gesamte Datenbank im Klartext auszulesen. Durch eine gezielte SQL-Injection-Anfrage würde der Server die kompletten Daten als Antwort in einer HTTP-Antwort zurücksenden“, so Smith.