Investigadores de seguridad descubrieron varias vulnerabilidades que afectan al menos a 150 impresoras multifunción (impresión, escaneo, fax) fabricadas por Hewlett Packard.
Alexander Bolshev y Timo Hirvonen, investigadores de seguridad de F-Secure, descubrieron las fallas. Dado que se remontan al menos a 2013, es probable que haya expuesto a un gran número de usuarios a ciberataques durante un período de tiempo considerable.
HP lanzó correcciones para las vulnerabilidades en forma de actualizaciones de firmware para dos de las fallas más críticas el 1 de noviembre de 2021. Las fallas críticas incluyen CVE-2021-39237 y CVE-2021-39238. La primera se refiere a dos puertos físicos expuestos que otorgan acceso completo al dispositivo. Para explotarlo, se requiere acceso físico y podría conducir a una posible divulgación de información.
El segundo es una grave vulnerabilidad de desbordamiento del búfer en el analizador de fuentes, con una puntuación CVSS de 9,3. Explotarlo brinda a los atacantes una manera de ejecución remota de código. Esta falla también es «desparasitable», lo que permite se propague rápidamente desde una sola impresora a una red completa.
Todas las organizaciones deben actualizar el firmware de su impresora lo antes posible para evitar infecciones a gran escala que comienzan desde este punto de entrada que a menudo se ignora.
Bolshev e Hirvonen de F-Secure utilizaron una unidad de impresora multifunción (MFP) HP M725z como banco de pruebas para descubrir los defectos. Informaron sus hallazgos a HP el 29 de abril de 2021 y la compañía descubrió que varios otros modelos también se vieron afectados.
Los escenarios de ataque explicados por los investigadores incluyen lo siguiente:
- Impresión desde unidades USB, que es lo que también se usó durante la investigación. En las versiones de firmware modernas, la impresión desde USB está desactivada de forma predeterminada.
- Ingeniería social de un usuario para que imprima un documento malicioso. Es posible incrustar un exploit para las vulnerabilidades del análisis de fuentes en un PDF.
- Imprimir conectándose directamente al puerto LAN físico.
- Imprimir desde otro dispositivo que esté bajo el control del atacante y en el mismo segmento de red.
- Impresión entre sitios (XSP): enviar el exploit a la impresora directamente desde el navegador mediante HTTP POST al puerto JetDirect 9100 / TCP. Este es el vector de ataque más atractivo.
- Ataque directo a través de puertos UART expuestos mencionados en CVE-2021-39237, si el atacante tiene acceso físico al dispositivo por un período corto de tiempo.
- Solo se necesitan unos segundos para explotar CVE-2021-39238, pero un atacante experto podría tardar cinco minutos en explotar CVE-2021-39237.
Los investigadores afirmaron que no hay evidencia de que alguien use estas vulnerabilidades en ataques reales.
Los administradores pueden seguir algunos métodos de mitigación además de actualizar el firmware, que incluyen lo siguiente:
- Desactive la impresión desde USB.
- Coloque la impresora en una VLAN separada detrás de un firewall.
- Únicamente permita conexiones salientes desde la impresora a una lista específica de direcciones.
- Configure un servidor de impresión dedicado para la comunicación entre las estaciones de trabajo y las impresoras.
Fuente: CyberSafe News.