Az F-Secure biztonsági kutatói egy kritikus biztonsági rést (CVE-2021-39238) azonosítottak, amely több mint 150 HP LaserJet, LaserJet Managed, PageWide és PageWide Managed nyomtatót és MFP-t érint. A biztonsági rés lehetővé teszi, hogy puffertúlcsordulást idézzen elő a betűtípus-processzorban egy speciálisan kialakított PDF-dokumentum nyomtatásra küldésével, és a kód firmware-szinten történő végrehajtásával. A probléma 2013 óta fennáll, és a november 1-jén közzétett firmware-frissítésekben javították (a gyártót áprilisban értesítették a problémáról).
A támadás helyileg csatlakoztatott nyomtatókon és hálózati nyomtatórendszereken egyaránt végrehajtható. A támadó például social engineering technikákkal kényszerítheti a felhasználót egy rosszindulatú fájl nyomtatására, megtámadhat egy nyomtatót egy már feltört felhasználói rendszeren keresztül, vagy a „DNS-újrakötéshez” hasonló technikát alkalmazhat, amely lehetővé teszi, hogy amikor a felhasználó megnyit egy bizonyos oldalt a böngészőben, hogy HTTP kérést küldjön a nyomtató hálózati portjára (9100/ TCP, JetDirect), amely nem érhető el közvetlen interneten keresztül.
A biztonsági rés sikeres kihasználása után a feltört nyomtató ugródeszkaként használható a helyi hálózat elleni támadás megindítására, a forgalom szippantására, vagy rejtett jelenléti pontok elhagyására a támadók számára a helyi hálózaton. A sérülékenység botnet-ek építésére vagy olyan hálózati férgek létrehozására is alkalmas, amelyek átvizsgálják a többi sérülékeny rendszert, és megpróbálják megfertőzni azokat. A nyomtató kompromittálásából eredő károk csökkentése érdekében javasolt a hálózati nyomtatókat külön VLAN-ba helyezni, korlátozni a tűzfalat abban, hogy a nyomtatókról kimenő hálózati kapcsolatokat létesítsen, és külön köztes nyomtatószervert használjon ahelyett, hogy a nyomtatót közvetlenül a munkaállomásokról érné el.
A kutatók egy másik sebezhetőséget (CVE-2021-39237) is azonosítottak a HP nyomtatókban, amely lehetővé teszi az eszközhöz való teljes hozzáférést. Az első sérülékenységgel ellentétben a probléma mérsékelt veszélyt jelent, mivel a támadás fizikai hozzáférést igényel a nyomtatóhoz (körülbelül 5 percig csatlakoznia kell az UART porthoz).
Forrás: opennet.ru