F-Secure компаниясынын коопсуздук изилдөөчүлөрү 2021дөн ашык HP LaserJet, LaserJet Managed, PageWide жана PageWide Managed принтерлерине жана MFPлерге таасир этүүчү олуттуу кемчиликти (CVE-39238-150) аныкташты. Алсыздык атайын иштелип чыккан PDF документти басып чыгаруу үчүн жөнөтүү аркылуу шрифт процессорунда буфердин толуп кетишине жана микропрограмма деңгээлинде кодуңуздун аткарылышына жетишүүгө мүмкүндүк берет. Көйгөй 2013-жылдан бери бар жана 1-ноябрда жарыяланган микропрограмма жаңыртууларында чечилген (өндүрүүчүгө көйгөй тууралуу апрель айында кабарланган).
Чабуул жергиликтүү туташкан принтерлерде да, тармактык басып чыгаруу системаларында да жүргүзүлүшү мүмкүн. Мисалы, чабуулчу колдонуучуну зыяндуу файлды басып чыгарууга мажбурлоо үчүн социалдык инженерия ыкмаларын колдоно алат, буга чейин бузулган колдонуучу системасы аркылуу принтерге кол салышы мүмкүн же колдонуучу белгилүү бир файлды ачканда мүмкүндүк берген "DNS кайра байланыштыруу" сыяктуу ыкманы колдоно алат. принтердин тармак портуна (9100/ TCP, JetDirect) HTTP суроо-талапты жөнөтүү үчүн браузердеги баракча, Интернет аркылуу түз жетүү үчүн жеткиликтүү эмес.
Алсыздык ийгиликтүү пайдаланылгандан кийин, бузулган принтер локалдык тармакка чабуул жасоо, трафикти жыттоо же жергиликтүү тармакта чабуулчулар үчүн жашыруун чекит калтыруу үчүн трамплин катары колдонулушу мүмкүн. Алсыздык ботнеттерди курууга же башка аялуу системаларды сканерлеп, аларды жуктурууга аракет кылган тармак курттарын түзүү үчүн да ылайыктуу. Принтердин компромиссинен келтирилген зыянды азайтуу үчүн, тармактык принтерлерди өзүнчө VLANга жайгаштыруу, брандмауэрди принтерлерден чыгуучу тармактык байланыштарды орнотууну чектөө жана принтерге жумушчу станциялардан түздөн-түз кирүүнүн ордуна өзүнчө аралык басып чыгаруу серверин колдонуу сунушталат.
Окумуштуулар ошондой эле HP принтерлериндеги дагы бир кемчиликти (CVE-2021-39237) аныкташты, бул аппаратка толук мүмкүнчүлүк алууга мүмкүндүк берет. Биринчи алсыздыктан айырмаланып, көйгөйгө коркунучтун орточо деңгээли ыйгарылат, анткени чабуул принтерге физикалык мүмкүнчүлүктү талап кылат (сиз UART портуна 5 мүнөттөй туташуу керек).
Source: opennet.ru