68/68 (IT) ประจำวันพุธที่ 19 กุมภาพันธ์ 2568
Rapid7 ค้นพบช่องโหว่ในเครื่องพิมพ์มัลติฟังก์ชัน Xerox VersaLink ที่หมายเลข CVE-2024-12510 และ CVE-2024-12511 ใน Printer มัลติฟังก์ชัน VersaLink C7020, C7025 และ C7030 ซึ่งช่วยให้แฮกเกอร์สามารถโจมตีแบบ pass-back attack เพื่อขโมยข้อมูลรับรองที่ใช้ในการยืนยันตัวตนผ่านโปรโตคอล LDAP และ SMB/FTP สาเหตุเกิดจากความสามารถในการเปลี่ยนที่อยู่ IP ของเซิร์ฟเวอร์ตรวจสอบสิทธิ์ให้ชี้ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม ทำให้สามารถดักจับข้อมูลรับรองที่ส่งออกจากเครื่องพิมพ์ได้
Rapid7 ระบุว่าการโจมตีผ่าน LDAP ทำให้ผู้โจมตีสามารถดักจับข้อมูลรับรองในรูปแบบ clear text ขณะที่การโจมตีผ่าน SMB/FTP อาจถูกใช้ในการโจมตีแบบ SMB relay attack เพื่อแทรกเข้าสู่ระบบ Windows Active Directory ส่งผลให้แฮกเกอร์สามารถคลื่อนที่ไปยังระบบต่างๆ ในเครือข่าย (lateral movement) และเข้าถึงเซิร์ฟเวอร์หรือไฟล์สำคัญได้ ช่องโหว่นี้ถูกแจ้งไปตั้งแต่เดือนมีนาคม 2024
Xerox ได้ออกอัปเดตแก้ไขช่องโหว่นี้ในเดือนมกราคม 2025 โดยปล่อย Service Pack ใหม่สำหรับ VersaLink C7020, C7025 และ C7030 องค์กรที่ใช้งานเครื่องพิมพ์ VersaLink ควรอัปเดตเฟิร์มแวร์เป็นเวอร์ชัน 57.75.53 พร้อมดำเนินมาตรการป้องกันเพิ่มเติม เช่น ตั้งรหัสผ่านผู้ดูแลระบบที่ซับซ้อน หลีกเลี่ยงการใช้บัญชี Windows ที่มีสิทธิ์ระดับสูง และปิดการเข้าถึงรีโมตคอนโซลที่ไม่มีการยืนยันตัวตน เพื่อป้องกันความเสี่ยงจากการโจมตี
แหล่งข่าว https://www.securityweek.com/xerox-versalink-printer-vulnerabilities-enable-lateral-movement/
