F-Secure
HP har rettet kritiske feil som påvirker ca. 150 skrivermodeller.
Skrivere er vanligvis koblet til forretningsnettverk — og potensielt glemt når det kommer til sikkerhet — slik at de enkelt kan tilby en angrepsvei. Utheving av dette problemet er PrintNightmare, CVE-2021-34481, en Windows Print Spooler-tjenestesårbarhet som tillater angripere å eskalere privilegier til systemnivå, som ble korrigert i august. I tillegg lappet HP en egen 16 år gammel sjåførfeil med eskalering av privilegier i juli.
Også: Microsoft avslørte nettopp en annen Print Spooler-feil
Nå har forskere fra F-Secure dokumentert “Printing Shellz, ” et sett med sårbarheter som påvirker multifunksjonsskrivere (MFP).
Torsdag sa forskerteamet at testene deres involverte HP MFP M725z. Imidlertid påvirker sårbarhetene – som dateres tilbake til 2013 – anslagsvis 150 produkter. Disse inkluderer modeller i seriene HP Color LaserJet Enterprise, HP LaserJet Enterprise, HP PageWide, HP OfficeJet Enterprise Color og HP ScanJet Enterprise 8500 FN1 Document Capture Workstation.
Det første problemet forskerne oppdaget var CVE-2021-39238. Tildelt en CVSS-alvorlighetsscore på 9,3, kan dette potensielle bufferoverløpsproblemet tillate opprettelsen av en “selv-propagerende nettverksorm som er i stand til uavhengig å spre seg til andre sårbare MFPer på samme nettverk,” ifølge F-Secure-forskerne Alexander Bolshev og Timo Hirvonen .
Den andre utgaven, CVE-2021-39237 (CVSS 7.1), beskrives av HP som en feil med informasjonsavsløring. F-Secure sier at denne feilen var forårsaket av utsatte fysiske porter, så lokal tilgang er nødvendig som en vei for angrep.
Det er mulig å utnytte disse feilene lokalt via fysisk tilgang til enheten, for eksempel ved å skrive ut fra USB. Og når det kommer til CVE-2021-39238, innebærer en annen potensiell angrepsvektor å sende en utnyttelsesnyttelast direkte fra en nettleser via cross-site printing (XSP).
“Disse sårbarhetene gir angripere en effektiv måte å stjele informasjon på: Det er usannsynlig at forsvarere proaktivt undersøker sikkerheten til en skriver, og så kan angriperen ganske enkelt lene seg tilbake og stjele all informasjon den kommer over (via ansatte som skriver ut, skanner, osv.),” F-Secure-kommentarer. “De kan også bruke multifunksjonsmaskinen som et pivotpunkt for å bevege seg gjennom bedriftsnettverket.”
HP ble informert om F-Secures oppdagelser 29. april og har siden gitt ut to råd (1,2), som beskriver sårbarhetene. Patcher og fastvareoppdateringer ble utgitt i november.
Det er ingen bevis for utnyttelse i naturen.
“Alle organisasjoner som bruker berørte enheter bør installere oppdateringene så snart de er tilgjengelige,” sier forskerne. “Selv om det er litt vanskelig å utnytte disse problemene, vil offentlig avsløring av disse sårbarhetene hjelpe trusselaktører å vite hva de skal se etter for å angripe sårbare organisasjoner.”
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Maskinvare | Sikkerhets-TV | Databehandling | CXO | Datasentre