Rapid7 公司的研究人员发现,施乐(Xerox)Versalink C7025 多功能打印机存在漏洞,攻击者可能利用这些漏洞窃取用户凭证。这些漏洞被认定为 CVE-2024-12510 和 CVE-2024-12511,可导致一种被称为 “回传攻击” 的情况,即打印机被诱骗将身份验证数据发送给攻击者。施乐 Versalink C7025 是一款广受欢迎的企业级打印机,具备打印、复印、扫描、传真和电子邮件功能。受这些漏洞影响的是运行固件版本 57.69.91 及更早版本的设备。Rapid7 的报告解释道:“这种回传式攻击利用了一个漏洞,使恶意行为者能够更改多功能打印机(MFP)的配置,并导致 MFP 设备将身份验证凭证发送给恶意行为者。”攻击者可以利用这些漏洞获取诸如轻量级目录访问协议(LDAP)、服务器消息块协议(SMB)和文件传输协议(FTP)等服务的凭证。这可能使他们得以访问敏感信息,甚至在组织的网络内横向移动,进而攻陷其他系统。攻击者需要获得打印机的管理员账户权限,或者能够对打印机控制台进行物理访问。然后,他们可以修改打印机的配置,将身份验证请求重定向到他们控制的服务器上。当用户尝试通过 LDAP 或 SMB 等服务进行身份验证时,打印机在不知情的情况下会将用户的凭证发送到攻击者的服务器上。施乐公司已经发布了固件更新来修复这些漏洞。强烈建议使用受影响的 Versalink 打印机的机构尽快升级到最新的已打补丁的版本。作为临时缓解措施,Rapid7 建议为管理员账户设置复杂密码,并避免在 LDAP 和 SMB 等服务中使用具有提升权限的 Windows 身份验证账户。同时,也建议为未经验证的用户禁用远程控制控制台。
