Муҳаққиқони амниятӣ аз F-Secure осебпазирии муҳимро (CVE-2021-39238) муайян карданд, ки ба зиёда аз 150 принтерҳои HP LaserJet, LaserJet Managed, PageWide ва PageWide Managed ва MFP таъсир мерасонад. Ин осебпазирӣ ба шумо имкон медиҳад, ки тавассути фиристодани ҳуҷҷати махсус тарҳрезишудаи PDF барои чоп ва ба иҷрои коди худ дар сатҳи нармафзор ноил шавед, дар протсессори шрифт фаромадани буферро ба вуҷуд оред. Мушкилот аз соли 2013 вуҷуд дорад ва дар навсозиҳои нармафзори 1-уми ноябр нашршуда ҳал карда шуд (истеҳсолкунанда дар бораи мушкилот дар моҳи апрел огоҳ карда шуд).
Ҳамла метавонад ҳам дар принтерҳои ба таври маҳаллӣ пайвастшуда ва ҳам дар системаҳои чопи шабака анҷом дода шавад. Масалан, ҳамлакунанда метавонад усулҳои муҳандисии иҷтимоиро истифода барад, то корбарро маҷбур кунад, ки файли зарароварро чоп кунад, ба чопгар тавассути системаи корбарии аллакай осебдида ҳамла кунад ё техникаи шабеҳи "Rebinding DNS" -ро истифода барад, ки имкон медиҳад, вақте ки корбар як файли муайянро мекушояд. саҳифа дар браузер, барои фиристодани дархости HTTP ба бандари шабакаи чопгар (9100/ TCP, JetDirect), барои дастрасии мустақим тавассути Интернет дастрас нест.
Пас аз истифодаи бомуваффақияти осебпазирӣ, чопгари осебдида метавонад ҳамчун трамплин барои оғози ҳамла ба шабакаи маҳаллӣ, бӯй кардани трафик ё барои ҳамлагарон дар шабакаи маҳаллӣ як нуқтаи пинҳонии ҳузур доштан истифода шавад. Ин осебпазирӣ инчунин барои сохтани ботнетҳо ё эҷоди кирмҳои шабакавӣ, ки дигар системаҳои осебпазирро скан мекунанд ва кӯшиш мекунанд, ки онҳоро сироят кунанд, мувофиқ аст. Барои кам кардани зарар аз созиши чопгар, тавсия дода мешавад, ки чопгарҳои шабакавӣ дар VLAN-и алоҳида ҷойгир карда шаванд, девори деворро аз таъсиси пайвастҳои шабакавии содиротӣ аз чопгарҳо маҳдуд кунанд ва ба ҷои дастрасии мустақим ба принтер аз истгоҳҳои корӣ, сервери чопии алоҳидаи фосилавиро истифода баред.
Муҳаққиқон инчунин як осебпазирии дигареро (CVE-2021-39237) дар принтерҳои HP муайян кардаанд, ки имкон медиҳад дастрасии пурра ба дастгоҳ дастрас шавад. Баръакси осебпазирии аввал, мушкилот дараҷаи мӯътадили хатар таъин карда мешавад, зеро ҳамла дастрасии ҷисмониро ба принтер талаб мекунад (шумо бояд тақрибан 5 дақиқа ба порти UART пайваст шавед).
Манбаъ: opennet.ru