Spoločnosť HP opravila zraniteľnosti ovplyvňujúce minimálne 150 modelov multifunkčných tlačiarní

Zraniteľnosti sa v asi 150 modeloch multifunkčných zariadení spoločnosti HP (Hewlett Packard) vyskytujú už od roku 2013. Nahlásené a opravené však boli až v roku 2021.  Útočníci ich môžu zneužiť na  krádež informácií alebo vzdialené vykonanie kódu. Na opravu týchto chýb je nutné aktualizovať firmvér.

Dôsledky

  • Únik informácií
  • Vzdialené vykonanie kódu

Opis činnosti

CVE-2021-39237, CVE-2021-39238

Zraniteľnosti CVE-2021-39237 a CVE-2021-39238 ovplyvňujú minimálne 150 multifunkčných tlačiarní spoločnosti HP. Objavili ich výskumníci Alexander Bolshev a Tim Hirvonen zo spoločnosti F-Secure, pričom ich testovali na zariadení HP M725z. Výskumníci nahlásili zraniteľnosti v apríli roku 2021, pričom opravu spoločnosť HP vydala v novembri tohto roku.

Prvá zraniteľnosť CVE-2021-39237 súvisí s vystavením 2 fyzických portov, ktoré poskytujú úplný prístup k zariadeniu. Na to, aby mohla byť zraniteľnosť zneužitá, je potrebný fyzický prístup k tlačiarni, pričom by mohlo dôjsť k potenciálnemu úniku informácií, ktoré sú spustené alebo uložené vo vyrovnávacej pamäti (vytlačené, skenované alebo faxované dokumenty). Ohrozené sú taktiež prihlasovacie mená a heslá.

Kritická zraniteľnosť CVE-2021-39238 (CVSS skóre 9,3) súvisí s pretečením medzipamäte pri analyzovaní písma. Zneužitím môže dôjsť k vzdialenému vykonaniu kódu. Zraniteľnosť je typu „wormable“ – útočník by sa z jednej tlačiarne mohol jednoduchým spôsobom dostať do celej siete.

Obe chyby možno zneužiť viacerými spôsobmi, a to napríklad tlačou z USB kľúčov, sociálnym inžinierstvom (nalákanie na tlač škodlivého dokumentu), cross-site printing (XSP), či tlačou zo zariadenia, ktoré je pod kontrolou útočníka.

Medzi zraniteľné produkty patria okrem iných modely tlačiarní HP LaserJet, HP LaserJet Managed, HP PageWide a HP PageWide Managed.

Zraniteľné systémy

Závažnosť zraniteľnosti

Vysoká

Možné škody

  • Únik informácií
  • Vzdialené vykonanie kódu

Odporúčania

Odporúčaná je aktualizácia firmvéru na najnovšiu dostupnú verziu. Na zmiernenie rizika zraniteľností môžu administrátori vykonať tieto kroky:

  • Zakázanie tlače z USB.
  • Umiestnenie tlačiarne do samostatnej VLAN siete umiestnenej za bránou firewall.
  • Povolenie odchádzajúcich pripojení z tlačiarne na špecifický zoznam adries.
  • Nastavenie dedikovaného tlačového servera na komunikáciu medzi pracovnými stanicami a tlačiarňami.

Odkazy

https://labs.f-secure.com/publications/printing-shellz

https://www.f-secure.com/en/press/p/f-secure-discovers-vulnerabilities-affecting-over-150-hp-printer

https://www.darkreading.com/vulnerabilities-threats/hp-issues-firmware-updates-for-printer-product-vulnerabilities

https://thehackernews.com/2021/11/critical-wormable-security-flaw-found.html

https://www.bleepingcomputer.com/news/security/8-year-old-hp-printer-vulnerability-affects-150-printer-models/

https://www.helpnetsecurity.com/2021/11/30/cve-2021-39237-cve-2021-39238/