Xerox VersaLink C7025 복합기 취약점 분석 및 대응 방안

Xerox VersaLink C7025 Multifunction printer flaws may expose Windows Active Directory credentials to attackers

Xerox VersaLink C7025 Multifunction printer flaws may expose Windows Active Directory credentials to attackers

 

• 취약점 개요
  • Xerox VersaLink C7025 복합기에서 LDAP 및 SMB/FTP 패스백(Pass-back) 공격을 통한 인증 정보 탈취 가능
  • 공격자가 인증 정보를 가로채어 Windows Active Directory 계정 정보를 확보할 수 있음
  • 취약점은 펌웨어 버전 57.69.91 및 이전 버전에 존재
  • CVE-2024-12510 및 CVE-2024-12511 두 가지 주요 취약점 발견됨
• CVE-2024-12510: LDAP 패스백 공격
  • CVSS 점수: 6.7 (중간 수준 위험)
  • 공격 방식
    • 공격자가 LDAP 서버의 IP 주소를 악성 서버로 변경
    • MFP(복합기)가 해당 서버로 LDAP 인증 요청을 보냄
    • 공격자는 포트 리스너를 실행하여 평문(Plaintext) LDAP 자격 증명 탈취
  • 공격 성공 조건
    • 복합기 관리자 계정 접근 필요
    • LDAP 서비스가 사전에 구성되어 있어야 함
• CVE-2024-12511: SMB / FTP 패스백 공격
  • CVSS 점수: 7.6 (높은 위험도)
  • 공격 방식
    • 사용자의 주소록 설정을 수정하여 SMB 또는 FTP 스캔 데이터를 공격자 서버로 전송
    • 공격자는 NetNTLMv2 해시를 가로채어 SMB 릴레이 공격 수행 가능
    • 또는 평문 FTP 자격 증명 탈취 가능
  • 공격 성공 조건
    • 복합기의 SMB 또는 FTP 스캔 기능이 활성화되어 있어야 함
    • 프린터 콘솔 또는 웹 인터페이스 접근 권한 필요 (관리자 권한 필요 가능성 있음)
• 위험성 및 영향
  • 공격자가 성공적으로 취약점을 악용하면 Windows Active Directory 계정의 인증 정보를 확보할 가능성 존재
  • 확보된 자격 증명을 활용하여 조직 내부에서 횡적 이동(Lateral Movement) 가능
  • 중요한 파일 서버 및 시스템이 추가적으로 침해될 위험
• 보안 권고
  • 펌웨어 업데이트
    • Xerox는 취약점 패치를 적용한 최신 펌웨어를 제공
    • 가능한 경우 즉시 업데이트 진행
  • 관리자 계정 보안 강화
    • 강력한 관리자 비밀번호 설정
    • 기본 자격 증명 사용 금지
  • 고위험 계정 사용 금지
    • LDAP 및 SMB 설정에서 높은 권한의 Windows 계정 사용 금지
    • 대신 제한된 권한의 서비스 계정 사용
  • 원격 접근 차단 및 인증 설정 강화
    • 비인가된 원격 액세스 비활성화
    • SMB 및 FTP 인증을 강제 적용하여 익명 액세스 방지
  • 네트워크 모니터링 및 감사 로그 활성화
    • LDAP 및 SMB/FTP 트래픽 모니터링
    • 의심스러운 로그인 시도 및 데이터 전송 탐지
    • 프린터 설정 변경 로그 주기적 점검
• 결론
  • Xerox VersaLink C7025 복합기에서 발견된 LDAP 및 SMB/FTP 패스백 취약점(CVE-2024-12510, CVE-2024-12511)은 조직 내부의 Windows Active Directory 보안을 위협
  • 공격자는 이를 악용하여 인증 정보를 탈취하고 횡적 이동을 시도할 가능성이 높음
  • 조직은 최신 펌웨어 업데이트를 적용하고, 강력한 관리자 계정 정책 및 네트워크 보안 설정을 강화하는 것이 필수적