Даследнікі бяспекі з кампаніі F-Secure выявілі крытычную ўразлівасць (CVE-2021-39238), якая закранае больш за розных 150 мадэляў друкарак і МФУ HP серыі LaserJet, LaserJet Managed, PageWide і PageWide Managed. Уразлівасць дазваляе праз адпраўку на друк спецыяльна аформленага PDF-дакумента выклікаць перапаўненне буфера ў апрацоўшчыку шрыфтоў і дамагчыся выкананні свайго кода на ўзроўні прашыўкі. Праблема праяўляецца з 2013 года і ўхіленая ў абнаўленнях прашыўкі, апублікаваных 1 лістапада (вытворца быў апавешчаны аб праблеме ў красавіку).
Атака можа быць здзейснена як на лакальна падлучаныя друкаркі, так і на сеткавыя сістэмы друку. Напрыклад, атакавалы можа скарыстацца метадамі сацыяльнага інжынірынгу і прымусіць карыстача раздрукаваць шкоднасны файл, атакаваць друкарку праз ужо ўзламаную сістэму карыстача або ўжыць тэхніку падобную «DNS rebinding», якая дазваляе пры адкрыцці карыстачом вызначанай старонкі ў браўзэры пры адправіць HT9100-запыт TCP, JetDirect), недаступны для прамога звароту праз інтэрнэт.
Пасля паспяховай эксплуатацыі ўразлівасці скампраметаваная друкарка можа выкарыстоўвацца ў якасці плацдарма для здзяйснення нападу на лакальную сетку, для сниффинга трафіку ці для пакідання ўтоенай кропкі прысутнасці атакавалых у лакальнай сетцы. Уразлівасць таксама прыдатная для пабудовы ботнэтаў або стварэння сеткавых чарвякоў, якія скануюць іншыя ўразлівыя сістэмы і якія спрабуюць ўразіць іх. Для зніжэння шкоды ад кампраметацыі друкарак рэкамендуецца змяшчаць сеткавыя друкаркі ў асобны VLAN, абмежаваць міжсеткавым экранам усталёўку выходных сеткавых злучэнняў ад друкарак і выкарыстоўваць асобны прамежкавы сервер друку замест прамога звароту да друкаркі з працоўных станцый.
Даследнікамі таксама выяўлена яшчэ адна ўразлівасць (CVE-2021-39237) у друкарках HP, якая дае магчымасць атрымаць поўны доступ да прылады. У адрозненне ад першай уразлівасці праблеме прысвоены ўмераны ўзровень небяспекі, бо для нападу патрабуецца фізічны доступ да друкаркі (трэба прыкладна на 5 хвілін падлучыцца да UART-порта).
Крыніца: opennet.ru