Dois pesquisadores de segurança da F-Secure descobriram que uma vulnerabilidade de 8 anos afeta 150 modelos de impressoras da HP.
Os pesquisadores descobriram várias vulnerabilidades que afetam pelo menos 150 impressoras multifuncionais (impressão, digitalização, fax) feitas pela Hewlett Packard.
Vulnerabilidade de 8 anos afeta 150 modelos de impressoras da HP
Sim. Uma vulnerabilidade de 8 anos afeta 150 modelos de impressoras da HP. Como as falhas descobertas pelos pesquisadores de segurança da F-Secure Alexander Bolshev e Timo Hirvonen datam de pelo menos 2013, elas provavelmente expuseram um grande número de usuários a ataques cibernéticos por um período notável.
A HP lançou correções para as vulnerabilidades na forma de atualizações de firmware para duas das falhas mais críticas em 1 de novembro de 2021.
Estes são CVE-2021-39237 e CVE-2021-39238. Para obter uma lista completa dos produtos afetados, clique nos números de rastreamento dos avisos correspondentes.
O primeiro diz respeito a duas portas físicas expostas que concedem acesso total ao dispositivo. Explorá-lo requer acesso físico e pode levar a uma possível divulgação de informações.
O segundo é uma vulnerabilidade de estouro de buffer no analisador de fonte, que é muito mais grave, tendo uma pontuação CVSS de 9,3. Explorá-lo oferece aos agentes de ameaças uma forma de execução remota de código.
CVE-2021-39238 também é “wormable”, o que significa que um agente de ameaça pode se espalhar rapidamente de uma única impressora para uma rede inteira.
Como tal, as organizações devem atualizar seu firmware de impressora o mais rápido possível para evitar infecções em grande escala que começam a partir desse ponto de entrada frequentemente ignorado.
Bolshev e Hirvonen da F-Secure usaram uma unidade de impressora multifuncional (MFP) HP M725z como sua base de teste para descobrir as falhas acima.
Depois de relatar suas descobertas à HP em 29 de abril de 2021, a empresa descobriu que, infelizmente, muitos outros modelos também foram afetados.
Como os pesquisadores explicam no relatório da F-Secure, existem várias maneiras de explorar as duas falhas, incluindo:
- Impressão de drives USB, que também foi utilizada durante a pesquisa. Nas versões de firmware modernas, a impressão de USB é desabilitada por padrão.
- Fazer a engenharia social de um usuário para imprimir um documento malicioso. Pode ser possível incorporar uma exploração para as vulnerabilidades de análise de fonte em um PDF.
- Imprimindo conectando-se diretamente à porta LAN física.
- Imprimir de outro dispositivo que está sob o controle do invasor e no mesmo segmento de rede.
- Impressão cross-site (XSP): envio de exploit para a impressora diretamente do navegador usando um HTTP POST para a porta 9100/TCP do JetDirect. Este é provavelmente o vetor de ataque mais atraente.
- Ataque direto por meio de portas UART expostas mencionadas em CVE-2021-39237, se o invasor tiver acesso físico ao dispositivo por um curto período de tempo.
Para explorar o CVE-2021-39238, levaria alguns segundos, enquanto um invasor habilidoso poderia lançar um ataque catastrófico baseado no CVE-2021-39237 em menos de cinco minutos.
No entanto, isso exigiria algumas habilidades e conhecimentos, pelo menos durante este primeiro período, quando não muitos detalhes técnicos são públicos.
Além disso, mesmo que as próprias impressoras não sejam ideais para um exame de segurança proativo, elas podem detectar esses ataques monitorando o tráfego da rede e olhando os registros.
Finalmente, a F-Secure aponta que eles não viram evidências de alguém usando essas vulnerabilidades em ataques reais. Portanto, os pesquisadores da F-Secure foram provavelmente os primeiros a identificá-los.
Um porta-voz da HP compartilhou o seguinte comentário com o site Bleeping Computer:
“A HP monitora constantemente o cenário de segurança e valorizamos o trabalho que ajuda a identificar novas ameaças em potencial. Publicamos um boletim de segurança para esta vulnerabilidade potencial aqui. A segurança de nossos clientes é uma das principais prioridades e os encorajamos a sempre estarem vigilantes e a manterem seus sistemas atualizados.”
Além de atualizar o firmware nos dispositivos afetados, os administradores podem seguir estas diretrizes para reduzir o risco de falhas:
- Desativar impressão de USB
- Coloque a impressora em uma VLAN separada atrás de um firewall
- Permitir apenas conexões de saída da impressora para uma lista específica de endereços
- Configure um servidor de impressão dedicado para a comunicação entre as estações de trabalho e as impressoras
O último ponto sublinha que, mesmo sem corrigir os patches, se as práticas de segmentação de rede adequadas forem seguidas, as chances de sofrer danos por invasores de rede diminuem significativamente.
Um guia detalhado sobre as práticas recomendadas para proteger sua impressora está disponível no artigo técnico da HP. Você também pode assistir a uma demonstração em vídeo de como esta vulnerabilidade da impressora HP pode ser explorada abaixo.