Investigadores de seguridad de F-Secure han identificado una vulnerabilidad crítica (CVE-2021-39238) que afecta a más de 150 modelos diferentes de impresoras y multifunción HP LaserJet, LaserJet Managed, PageWide y PageWide Managed. Esta vulnerabilidad permite la impresión de un documento PDF especialmente diseñado, lo que provoca un desbordamiento de búfer en el controlador de fuentes y la ejecución de código de firmware. El problema existe desde 2013 y se solucionó en las actualizaciones de firmware publicadas el 1 de noviembre (el fabricante fue notificado del problema en abril).
El ataque puede afectar tanto a impresoras conectadas localmente como a sistemas de impresión en red. Por ejemplo, un atacante podría usar ingeniería social para engañar a un usuario para que imprima un archivo malicioso, atacar una impresora a través del sistema de un usuario ya comprometido o emplear una técnica como la revinculación de DNS, que, cuando un usuario abre una página específica en un navegador, envía una solicitud HTTP al puerto de red de la impresora (9100/TCP, JetDirect), inaccesible mediante acceso directo a internet.
Una vez explotada con éxito, una impresora comprometida puede servir como plataforma para un ataque a la red local, para interceptar el tráfico o para dejar un punto de presencia oculto para los atacantes en la red local. La vulnerabilidad también es adecuada para crear botnets o gusanos informáticos que escaneen otros sistemas vulnerables e intenten infectarlos. Para mitigar los daños derivados de una impresora comprometida, se recomienda ubicar las impresoras de red en una VLAN separada, restringir las conexiones de red salientes de las impresoras con un firewall y utilizar una capa intermedia independiente. servidor imprimir en lugar de acceder directamente a la impresora desde las estaciones de trabajo.
Los investigadores también identificaron otra vulnerabilidad (CVE-2021-39237) en impresoras HP que permite el acceso total al dispositivo. A diferencia de la primera vulnerabilidad, este problema se considera moderadamente grave, ya que el ataque requiere acceso físico a la impresora (conexión al puerto UART durante aproximadamente 5 minutos).
Fuente: opennet.ru
