Beveiligingsonderzoekers van F-Secure hebben een kritieke kwetsbaarheid (CVE-2021-39238) geïdentificeerd die meer dan 150 HP LaserJet, LaserJet Managed, PageWide en PageWide Managed printers en MFP's treft. Door het beveiligingslek kunt u een bufferoverloop in de lettertypeprocessor veroorzaken door een speciaal ontworpen PDF-document te verzenden om af te drukken, zodat uw code op firmwareniveau kan worden uitgevoerd. Het probleem doet zich al sinds 2013 voor en is opgelost in firmware-updates die op 1 november zijn gepubliceerd (de fabrikant werd in april op de hoogte gebracht van het probleem).
De aanval kan zowel op lokaal aangesloten printers als op netwerkafdruksystemen worden uitgevoerd. Een aanvaller kan bijvoorbeeld social engineering-technieken gebruiken om een gebruiker te dwingen een kwaadaardig bestand af te drukken, een printer aanvallen via een reeds gecompromitteerd gebruikerssysteem, of een techniek gebruiken die vergelijkbaar is met ‘DNS-rebinding’, waardoor een gebruiker, wanneer hij een bepaald bestand opent, pagina in de browser, om een HTTP-verzoek te sturen naar de netwerkpoort van de printer (9100/TCP, JetDirect), die niet beschikbaar is voor directe toegang via internet.
Na succesvol misbruik van de kwetsbaarheid kan een gecompromitteerde printer worden gebruikt als springplank om een aanval op een lokaal netwerk uit te voeren, om verkeer op te sporen of om een verborgen aanwezigheidspunt achter te laten voor aanvallers op het lokale netwerk. De kwetsbaarheid is ook geschikt voor het bouwen van botnets of het creëren van netwerkwormen die andere kwetsbare systemen scannen en proberen te infecteren. Om de schade als gevolg van printercompromis te verminderen, wordt aanbevolen om netwerkprinters in een apart VLAN te plaatsen, de firewall te beperken in het tot stand brengen van uitgaande netwerkverbindingen vanaf printers, en een aparte tussenliggende printserver te gebruiken in plaats van rechtstreekse toegang tot de printer vanaf werkstations.
Onderzoekers hebben ook een andere kwetsbaarheid (CVE-2021-39237) in HP-printers geïdentificeerd, waardoor volledige toegang tot het apparaat kan worden verkregen. In tegenstelling tot de eerste kwetsbaarheid kent het probleem een gematigd risiconiveau, omdat de aanval fysieke toegang tot de printer vereist (je moet ongeveer 5 minuten verbinding maken met de UART-poort).
Bron: opennet.ru