Aviso sobre amenazas de ciberseguridad:

20 de febrero de 2025

Vulnerabilidad presente en impresoras Xerox

Se han encontrado dos vulnerabilidades, CVE-2024-12510 y CVE-2024-12511, en la impresora multifunción Xerox VersaLink C7025. Si se explotan con éxito, los atacantes pueden capturar credenciales de autenticación mediante ataques de transferencia a través de servicios de protocolo ligero de acceso a directorios (LDAP), bloque de mensajes del servidor (SMB) y protocolo de transferencia de archivos (FTP).

¿Cuál es la amenaza?

Estos ataques de transferencia de datos aprovechan vulnerabilidades que permiten a los atacantes maliciosos modificar la configuración de la impresora multifunción (MFP), lo que hace que el dispositivo transmita credenciales de autenticación al atacante. Los detalles sobre estas vulnerabilidades son los siguientes:

Ataque de retransmisión a través de la libreta de direcciones del usuario – SMB/FTP CVE-2024-12511 tiene una puntuación CVSS: 7,6. Un atacante puede alterar la configuración de la libreta de direcciones del usuarios para redirigir los destinos de escaneo SMB o FTP a un sistema que controle, lo que le permitirá capturar credenciales de autenticación. Esto permite al atacante interceptar protocolos de enlace NetNTLMv2 para un ataque de retransmisión o recuperar credenciales FTP en texto sin formato. Una configuración de escaneo SMB o FTP existen con acceso a la consola de la impresora o la interfaz web con privilegios de administrador para ejecutar el ataque.

Ataque de devolución de contraseñas a través de LDAP CVE-2024-12510 tiene una puntuación de CVSS: 6,7. Un atacante que accede a la pagina de configuración de LDAP puede modificar la dirección IP del servidor a un sistema malicioso, lo que hace que el dispositivo se autentique contra su host controlado. Al ejecutar un detector de puertos, pueden interceptar credenciales LDAP en texto sin formato. Este ataque requiere acceso a la cuenta de administrador de MFP y una configuración LDAP existente.

¿Por qué es digno de mención?

Estas amenazas son particularmente importantes porque permiten a los atacantes interceptar credenciales de autenticación confidenciales, lo que podria comprometer la seguridad de la red. Las vulnerabilidades brindan a los atacantes acceso a credenciales LDAP o FTP en texto sin formato y, en algunos casos, permiten otros ataques que podrían conducir a una mayor explotación de la red, lo que representa un riesgo significativo para las organizaciones con firmware vulnerable.

¿Cuál es el riesgo?

Si bien se requieren condiciones específicas (como que el atacante necesite una función de escaneo SMB o FTP configurada en la libreta de direcciones del usuario, así como acceso físico a la consola de la impresora o acceso remoto a través de la interfaz web), existe un riesgo adicional si se habilita el acceso a nivel de usuario a la consola de control remoto. En tales casos, pueden requerirse privilegios de administrador. Las vulnerabilidades podrían permitir que un atacante extraiga toda la base de datos de texto sin formato en banda a traves de una respuesta HTTP utilizando una carga util de inyeccion SQL especialmente diseñada.

Recomendaciones

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

Actualización al Service Pack 57.75.53, publicado a fines del mes pasado, para las impresoras de series VersaLink C7020, C7025 y C7030.
Establezca contraseñas complejas y no predeterminadas para las cuentas de administrador de la impresora a fin de minimizar el riesgo de cambios de configuración no autorizados.
Limite el acceso a la consola de control remoto de la impresora. Si es necesario el acceso administrativo, protegelo con credenciales distintas.
No utilice cuentas de autenticación de Windows con privilegios elevados en las configuraciones de la impresora. Esto reduce el impacto potencial de una infracción al limitar lo que se puede capturar.
Coloque las impresoras en una VLAN o subred separada. Esta segmentación ayuda a evitar que los atacantes que se muevan fácilmente de una impresora comprometida a servidores Windows críticos.
Realice auditorías de seguridad periódicas, incluidas las impresoras. El monitoreo de cambio de configuración inesperados puede ayudar a identificar y prevenir posibles ataques de manera temprana.