Las impresoras ya no son solo máquinas que sacan hojas con tinta. Hoy en día, están conectadas a redes, almacenan datos y, si no están bien protegidas, pueden convertirse en un blanco fácil para los hackers.
Recientemente, se descubrieron vulnerabilidades en las impresoras multifunción Xerox VersaLink C7025 que podrían permitir a los atacantes capturar credenciales de autenticación explotando servicios como LDAP, SMB y FTP. Según un investigador de seguridad de Rapid7, este ataque conocido como pass-back, permite a un actor malicioso manipular la configuración de la impresora para que envíe credenciales directamente a ellos.
¿El riesgo? Si un atacante logra explotar estas fallas, podría robar credenciales de Windows Active Directory y moverse dentro de la red de una empresa, comprometiendo servidores y sistemas críticos.
Un ataque pass-back es una técnica utilizada por los hackers para engañar a un sistema y hacer que envíe credenciales de autenticación a un servidor bajo su control. En lugar de robar directamente las credenciales, los atacantes manipulan la configuración de un dispositivo (como una impresora) para redirigir las solicitudes de autenticación a su propio servidor malicioso.
En el caso de las vulnerabilidades descubiertas en las impresoras Xerox VersaLink, este ataque se aprovecha de los protocolos LDAP, SMB y FTP, que son utilizados por muchas empresas para gestionar el acceso a archivos y servicios en red. Al modificar la configuración de la impresora, el atacante puede interceptar credenciales legítimas cada vez que un usuario inicia sesión o escanea documentos.
El problema con los ataques pass-back es que las credenciales robadas pueden ser utilizadas para acceder a otros sistemas dentro de la red, facilitando un movimiento lateral dentro de la organización. Si los atacantes consiguen credenciales de Active Directory, podrían obtener acceso a servidores críticos, bases de datos y otros recursos sensibles.
Las fallas de seguridad detectadas afectan a las versiones de firmware 57.69.91 y anteriores de las impresoras Xerox VersaLink. En concreto, se trata de dos vulnerabilidades:
En otras palabras, si un ciberdelincuente logra acceso a la configuración de la impresora, podría manipular los ajustes para capturar credenciales de autenticación cuando los usuarios escanean o envían archivos. Según el investigador de Rapid7, para que el ataque funcione, el atacante necesita que la función de escaneo SMB o FTP esté activada y acceso a la consola de la impresora, ya sea físicamente o a través de la interfaz web. En algunos casos, esto podría requerir permisos de administrador.
Podría interesarte leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
Después de que estas vulnerabilidades se reportaran el 26 de marzo de 2024, Xerox lanzó el Service Pack 57.75.53 para solucionar el problema en las impresoras VersaLink C7020, C7025 y C7030. Si tienes uno de estos modelos, lo mejor que puedes hacer es actualizar el firmware lo antes posible.
Pero si por alguna razón no puedes aplicar el parche de inmediato, aquí tienes algunas medidas de seguridad que pueden ayudarte a reducir el riesgo:
Estos casos en las impresoras Xerox y otros dispositivos conectados demuestran que la seguridad en la red no es solo cosa de computadoras y servidores. Es fundamental estar atentos y tomar medidas proactivas para evitar que cualquier equipo, incluso una impresora, se convierta en un punto débil dentro de la empresa.
Para minimizar riesgos, es fundamental mantener todos los dispositivos actualizados, aplicar políticas de acceso seguras, monitorear la red en busca de actividad sospechosa y utilizar soluciones avanzadas de protección de endpoints. Además, la concienciación dentro de la empresa juega un papel clave: muchas brechas de seguridad ocurren por configuraciones débiles o falta de controles adecuados.
En definitiva, la ciberseguridad no es algo que se pueda dejar en segundo plano. Un descuido en un solo dispositivo puede comprometer toda una red.