Kritieke kwetsbaarheid in meer dan 100 HP printermodellen


Beveiligingsonderzoekers hebben kritieke beveiligingsproblemen ontdekt in de firmware van tal van HP multifunctionele printers. Aanvallers kunnen via een van de kwetsbaarheden kwaadaardige code binnensmokkelen. Ook cybercriminelen kunnen zich nestelen in het netwerk of kwaadaardige code kan zich als een worm van printer naar printer verspreiden. Bovendien kan daardoor informatie wegvloeien. HP levert firmware-updates voor meer dan 100 betrokken printermodellen. Zoals de zaken er nu voorstaan, hebben de onderzoekers geen enkel bewijs gevonden dat de mazen al zijn uitgebuit.

Weinigen van hen zien de printer als een toegangspoort tot het lokale netwerk voor indringers of malware. Om deze reden wordt er bij patchbeheer meestal geen rekening gehouden met printers. Er zijn kleine computers, vooral in de grotere multifunctionele apparaten die hele afdelingen bedienen. Ze slaan verschillende gegevens op, zoals printopdrachten, configuratie-informatie of toegangsgegevens op bijvoorbeeld netwerkschijven.

Beveiligingsonderzoekers van F-Secure hebben de hardware en software van een van de getroffen printers onder de loep genomen. Daarbij stuitten ze op zwakke punten in de verwerking van tekensets in de firmware. De mazen in de wet kunnen worden uitgebuit door gemanipuleerde Postscript-bestanden af ​​te drukken om willekeurige code binnen te smokkelen en uit te voeren.

De eerste analyses vonden plaats op firmware uit 2013, die ze op het testapparaat aantroffen. Toen ze erin slaagden erin te komen, namen ze de firmware die op het moment van testen actueel was. Met een paar aanpassingen konden de mazen nog worden uitgebuit. Firmwarebestanden voor andere apparaten werden opgeslagen op HP’s FTP-servers, die de IT-experts gebruikten voor de kwetsbaarheid die ze vonden – en ze vonden daar ook wat ze zochten. In uw De onderzoekers van F-Secure leggen het gedetailleerde rapport uithoe ze te werk gingen.

De onderzoekers van F-Secure vermelden ook mogelijke aanvalsvectoren. De meest kritieke zou een aanval zijn via cross-site printing: wanneer de webbrowser bijvoorbeeld een kwaadwillende website bezoekt, stuurt hij een HTTP POST-verzoek met de schadelijke code naar JetDirect-poort 9100 (TCP). Aanvallers kunnen gebruikers bijvoorbeeld met een e-mail naar zo’n voorbereide pagina lokken.

Daarnaast lukte het printen – en dus infectie – ook vanaf een ander apparaat dat al was overgenomen: de maas in de wet zou kunnen worden uitgebuit door een worm, code die zich zelfstandig in het netwerk voortplant. Andere gateways zijn het printen van een gemanipuleerd bestand vanaf een USB-stick, door een apparaat rechtstreeks in de RJ45-poort te pluggen of door bijvoorbeeld social engineering te gebruiken.

Een Een ander beveiligingsbericht van HP betreft een tweede kwetsbaarheid (CVE-2021-39237, hoog risico) die de F-Secure-onderzoekers vonden. Om dit te doen, hebben aanvallers echter fysieke toegang tot de printers nodig. Uiteindelijk zouden ze ongeoorloofde toegang kunnen krijgen tot informatie zoals printopdrachten of opgeslagen toegangsgegevens.

HP somt de verschillende getroffen modelseries op in een beveiligingsbulletin voor de kritieke kwetsbaarheid (CVE-2021-39238, CVSS 9.3). HP-gebruikers moeten de lijst onder “Betrokken producten” in het beveiligingsbericht controleren om te zien of hun eigen modellen zijn inbegrepen. Hewlett Packard biedt bijgewerkte firmware op de ondersteunings- en downloadpagina, waar u naar het modelnummer kunt zoeken. Beheerders moeten deze snel importeren en in de toekomst regelmatig printerfirmware-updates opnemen in de patchplanning.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: