今年1月底全錄(Xerox)修補Versalink系列多功能印表機(MFP)的資安漏洞CVE-2024-12510、CVE-2024-12511,通報這些漏洞的資安業者Rapid7最近公布細節,攻擊者可經由這兩個弱點進行回傳攻擊(Pass-Back Attack),從而取得印表機的LDAP、SMB、FTP組態,隨後就能在受害組織的內部網路環境進行橫向移動,並且破壞其他Windows伺服器或是檔案系統。
什麼是回傳攻擊?這是一種針對多功能印表機而來的手法,攻擊者通常會藉由漏洞竄改印表機組態,從而讓印表機向攻擊者指定的伺服器進行驗證,使得攻擊者能截取相關的驗證資料,特別是LDAP及SMB的帳密。
針對這兩項資安漏洞,Rapid7物聯網首席資安研究員Deral Heiland指出,CVE-2024-12510能用於收集LDAP資訊的弱點,而CVE-2024-12511則能被用來收集SMB及FTP連線的組態資訊。
一旦攻擊者觸發了CVE-2024-12510,就能竄改LDAP服務的IP位址,並觸發LDAP使用者與系統帳號對應(LDAP User Mapping)的搜尋,接著可監聽特定連接埠而得知印表機使用的LDAP身分帳密,CVSS風險為6.7分。不過,利用這項漏洞必須搭配特定條件,那就是攻擊者要能夠存取印表機的管理員帳號,而且印表機也要與正常運作的LDAP伺服器連線。
另一個漏洞CVE-2024-12511,則是讓攻擊者有機會存取者的通訊錄,從而竄改SMB及FTP伺服器的IP位址,然後監聽流量得知帳密資料,但特別的是,攻擊者還能攔截NetNTLMV2交握的內容,或是對AD檔案伺服器進行SMB中繼攻擊,CVSS風險為7.6。
熱門新聞
2025-02-17
2025-02-17
2025-02-17
2025-02-18
2025-02-18
2025-02-14