A Xerox VersaLink multifunkciós nyomtatók sérülékenységei lehetővé teszik a támadók számára, hogy hitelesítési adatokat szerezzenek pass-back támadások révén, amelyek az LDAP (Lightweight Directory Access Protocol) és SMB/FTP szolgáltatásokat célozzák. A két szóban forgó sérülékenység a CVE-2024-12510 és a CVE-2024-12511 azonosítókon nyomon követhetők, a Xerox biztonsági frissítéseiben már mindkettőt javította.
A pass-back támadás lényege, hogy a nyomtatót a támadó arra utasítja, hogy egy általa irányított szerveren keresztül hitelesítse magát, amely így elfogja az eszköz által küldött hitelesítő adatokat.
Egy olyan Versalink nyomtatón, amelyen hitelesítésre konfigurált LDAP szolgáltatás fut, a támadó a konfigurációs oldalhoz való hozzáférés esetén átírhatja a szolgáltatás IP címét, majd elindíthat egy LDAP lekérdezést, és így a nyomtató a támadó szerverén próbálja meg hitelesíteni magát. Ezután a támadó egy általa irányított gépen egyszerű portfigyelő segítségével elfoghatja a titkosítatlan szövegként elküldött hitelesítő adatokat. Ehhez azonban a nyomtató adminisztrátor fiókjához való hozzáférés szükséges, illetve a nyomtató LDAP szolgáltatásainak előzetes valódi LDAP szerverhez való konfiguráltsága is. Hasonlóképpen az SMB vagy FTP hitelesítő adatok elfogásához, a felhasználó címjegyzékének megváltoztatása szükséges, ahol a támadónak át kell írnia az SMB vagy FTP szerver IP címét úgy, hogy az egy általa irányított szerverre mutasson.
Ez a támadás lehetővé teszi egy rosszindulatú szereplő számára, hogy NetNTLMv2 hitelesítési folyamatokat rögzítsen, vagy kihasználja a sebezhetőséget egy SMB relay támadás során az Active Directory fájlszerverei ellen. FTP esetében a támadó titkosítatlan formában rögzítheti az FTP hitelesítő adatokat.
Sikeres kihasználás esetén a támadó hozzáfér a Windows Active Directory hitelesítő adataihoz. Ez laterális mozgást tesz számára lehetővé a szervezet hálózatán belül, ezzel veszélyeztetve más kritikus Windows szervereket és fájlrendszereket.
A sérülékenységek 2025 január végén javításra kerültek egy biztonsági frissítés formájában a VersaLink C7020, 7025 és 7030-as multifunkciós nyomtatók esetében.
A szervezeteknek javasolt a VersaLink nyomtatók 57.75.53-as verzióra való mihamarabbi frissítése. A sebezhetőségek által okozott lehetséges károk csökkentése érdekében ajánlott összetett jelszavakat használni az adminisztrátori fiókokhoz, kerülni a magas jogosultságú adminisztrátor fiókok mindennapi használatát, illetve letiltani a hitelesítés nélküli távoli hozzáférést.
