Уязвимость принтера HP, возникшая 8 лет назад, затрагивает 150 моделей принтеров

10
Soitec заявляет, что план преемственности имеет «полную поддержку» основных акционеров

Исследователи обнаружили несколько уязвимостей, затрагивающих как минимум 150 многофункциональных (печать, сканирование, факс) принтеров производства Hewlett Packard.

Поскольку недостатки, обнаруженные исследователями безопасности F-Secure Александром Большевым и Тимо Хирвоненом, относятся как минимум к 2013 году, они, вероятно, подвергли большое количество пользователей кибератакам в течение значительного времени.

1 ноября 2021 года HP выпустила исправления уязвимостей в виде обновлений прошивки для двух наиболее критических недостатков.

Это CVE-2021-39237 и CVE-2021-39238. Чтобы получить полный список затронутых продуктов, нажмите на номера отслеживания для соответствующих рекомендаций.

Первый касается двух открытых физических портов, которые предоставляют полный доступ к устройству. Его использование требует физического доступа и может привести к раскрытию информации.

Вторая — это уязвимость, связанная с переполнением буфера в парсере шрифтов, которая намного более серьезна и имеет оценку CVSS 9,3. Его использование дает злоумышленникам возможность удаленного выполнения кода.

CVE-2021-39238 также подвержен заражению червем, что означает, что злоумышленник может быстро распространиться с одного принтера на всю сеть.

Таким образом, организации должны обновить прошивку своих принтеров как можно скорее, чтобы избежать крупномасштабных заражений, которые начинаются с этой часто игнорируемой точки входа.

Несколько потенциальных векторов

Большев и Хирвонен из F-Secure использовали многофункциональный принтер (МФУ) HP M725z в качестве своего испытательного стенда для обнаружения вышеуказанных недостатков.

После того, как они сообщили о своих результатах в HP 29 апреля 2021 года, компания обнаружила, что, к сожалению, многие другие модели также пострадали.

Как объясняют исследователи в отчете F-Secure, есть несколько способов использовать эти два недостатка, в том числе:

  • Печать с USB-накопителей, что и использовалось во время исследования. В современных версиях прошивки печать с USB по умолчанию отключена.
  • Социальная инженерия пользователя для печати вредоносного документа. В PDF-файл можно встроить эксплойт для уязвимостей парсинга шрифтов. 
  • Печать путем прямого подключения к физическому порту LAN.
  • Печать с другого устройства, находящегося под контролем злоумышленника и в том же сегменте сети.
  • Межсайтовая печать (XSP): отправка эксплойта на принтер прямо из браузера с использованием HTTP POST на порт JetDirect 9100 / TCP. Это, наверное, самый привлекательный вектор атаки.
  • Прямая атака через открытые порты UART, упомянутые в CVE-2021-39237, если злоумышленник имеет физический доступ к устройству в течение короткого времени.

Чтобы использовать CVE-2021-39238, потребуется несколько секунд, тогда как опытный злоумышленник может запустить катастрофическое нападение на основе CVE-2021-39237 менее чем за пять минут.

Однако для этого потребуются определенные навыки и знания, по крайней мере, в этот первый период, когда не так много технических деталей является общедоступным.

Кроме того, даже если сами принтеры не идеальны для проактивной проверки безопасности, они могут обнаруживать эти атаки, отслеживая сетевой трафик и просматривая журналы.

Наконец, F-Secure отмечает, что они не видели доказательств того, что кто-либо использовал эти уязвимости в реальных атаках. Следовательно, исследователи F-Secure, вероятно, первыми их заметили.

Методы смягчения

Помимо обновления прошивки на затронутых устройствах, администраторы могут следовать этим рекомендациям, чтобы снизить риск появления недостатков:

  • Отключить печать с USB
  • Поместите принтер в отдельную VLAN за брандмауэром.
  • Разрешить исходящие соединения от принтера только к определенному списку адресов.
  • Настройте выделенный сервер печати для связи между рабочими станциями и принтерами.

Последний пункт подчеркивает, что даже без исправления исправлений при соблюдении надлежащей практики сегментации сети шансы понести ущерб от сетевых злоумышленников значительно снижаются.

Подробное руководство по передовым методам защиты вашего принтера доступно в техническом документе HP

Предыдущая статьяFarming Simulator 22 бьет рекорды серии: за первую неделю было продано 1,5 млн
Следующая статьяКомпания по тестированию ДНК раскрыла утечку данных, затронувшую 2,1 миллиона человек

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь