นักวิจัยด้านความปลอดภัยจาก Rapid7 ได้เปิดเผยช่องโหว่ด้านความปลอดภัยในเครื่องพิมพ์มัลติฟังก์ชัน Xerox VersaLink C7025 ซึ่งอาจเปิดโอกาสให้ผู้ไม่หวังดีใช้ประโยชน์จากการโจมตีแบบ Pass-back attack เพื่อดักจับข้อมูลรับรองการยืนยันตัวตนผ่านบริการ Lightweight Directory Access Protocol (LDAP) และ SMB/FTP
Deral Heiland นักวิจัยด้านความปลอดภัยจาก Rapid7 อธิบายว่า “การโจมตีแบบ Pass-back นี้ใช้ประโยชน์จากช่องโหว่ที่ทำให้ผู้โจมตีสามารถเปลี่ยนแปลงการตั้งค่าของอุปกรณ์ MFP และบังคับให้อุปกรณ์ส่งข้อมูลรับรองการยืนยันตัวตนกลับไปยังผู้โจมตี”
หากช่องโหว่นี้ถูกใช้ประโยชน์สำเร็จ อาจทำให้ผู้โจมตีสามารถขโมยข้อมูลรับรองของ Windows Active Directory ซึ่งอาจนำไปสู่การเข้าถึงเซิร์ฟเวอร์และระบบไฟล์ที่สำคัญภายในองค์กร
ช่องโหว่ที่พบมีผลกระทบต่อ เฟิร์มแวร์เวอร์ชัน 57.69.91 และเก่ากว่า โดยมีรายละเอียดดังนี้
CVE-2024-12510 (คะแนน CVSS: 6.7) – การโจมตีแบบ Pass-back ผ่าน LDAP
CVE-2024-12511 (คะแนน CVSS: 7.6) – การโจมตีแบบ Pass-back ผ่าน Address book ของ User
Heiland อธิบายเพิ่มเติมว่า “ในการโจมตีนี้ให้สำเร็จ ผู้โจมตีจำเป็นต้องมีการกำหนดค่าฟังก์ชันสแกนผ่าน SMB หรือ FTP ภายในสมุดที่อยู่ของผู้ใช้ รวมถึงต้องสามารถเข้าถึงคอนโซลของเครื่องพิมพ์โดยตรง หรือเข้าถึงคอนโซลควบคุมระยะไกลผ่านเว็บอินเทอร์เฟซ ซึ่งอาจต้องใช้สิทธิ์ผู้ดูแลระบบ เว้นแต่ว่าจะมีการเปิดให้ผู้ใช้ทั่วไปสามารถเข้าถึงคอนโซลควบคุมระยะไกลได้”
หลังจากมีการแจ้งเตือนเมื่อวันที่ 26 มีนาคม 2024 ทาง Xerox ได้ทำการแก้ไขช่องโหว่เหล่านี้ใน Service Pack 57.75.53 ซึ่งถูกปล่อยออกมาเมื่อปลายเดือนที่ผ่านมา สำหรับเครื่องพิมพ์รุ่น VersaLink C7020, C7025 และ C7030 องค์กรที่ใช้เครื่องพิมพ์รุ่นดังกล่าวควรทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด เพื่อลดความเสี่ยงจากการโจมตีที่อาจเกิดขึ้น
