W ponad 150 modelach drukarek HP znaleziono wiele luk w zabezpieczeniach; Krytyczna wada może pozwolić hackerom na „ruch boczny”.
Luki w ponad 150 wielofunkcyjnych drukarkach HP pokazują, że każdy typ urządzenia, które łączy się z siecią, może zwiększyć powierzchnię ataku.
F-Secure z siedzibą w Helsinkach w Finlandii znalazła możliwe do wykorzystania luki w ponad 150 drukarkach wielofunkcyjnych HP. Firma poinformowała HP o swoich ustaleniach wiosną 2021 r. HP zaktualizowało oprogramowanie sprzętowe drukarek i opublikowała porady 1 listopada. Dlatego F-Secure opublikowało raport ze swoich badań.
Badacze odkryli dwa oddzielne wektory ataku — jeden wymagający fizycznego dostępu, a drugi, który można uruchomić zdalnie ze złośliwej witryny.
Fizyczny atak wymagałby nie więcej niż pięciu minut dostępu do drukarki. Naukowcy znaleźli dwa odsłonięte porty na płycie komunikacyjnej, do których można uzyskać dostęp po wykręceniu jednej śruby. Drukarki często nie są monitorowane, a czasem znajdują się w dedykowanym pokoju. Osoba atakująca przebrana za konserwatora może odwiedzić drukarkę, naruszyć ją i opuścić budynek w ciągu zaledwie kilku minut.
Porty te mogą zarówno odczytywać, jak i zapisywać dane. „Jeśli skompromitujesz tylko jedną z drukarek, możesz przemieszczać się do bardziej interesujących części sieci (ruch boczny)” – powiedzieli badacze z Finlandii redaktorom SecurityWeek.
Większym potencjalnym zagrożeniem było odkrycie luk w analizie czcionek, które można wykorzystać zdalnie. Parser czcionek istnieje od co najmniej 2013 roku, więc luka istniała co najmniej od tego czasu. „Parser czcionek został opracowany w czasie, gdy bezpieczne programowanie nie było traktowane tak poważnie, jak obecnie” – skomentowali naukowcy.
Atak polega na zwabieniu użytkownika do złośliwej strony internetowej. Po połączeniu atakujący mógłby wysłać instrukcję zdalnego drukowania do MFT firmy użytkownika. Metoda polega na wydrukowaniu złośliwego dokumentu i wprowadzeniu złośliwego oprogramowania do drukarki. Scenariusz jest idealny do bezpośredniej socjotechniki, która ma na celu nakłonienie użytkownika (którym może być dowolna osoba w firmie z dowolnego działu) do odwiedzenia złośliwej witryny.
Ponownie, gdy drukarka zostanie skompromitowana, atakujący może przenieść się do innych części sieci. Albo, jak powiedzieli naukowcy, „mógłby po prostu spokojnie siedzieć w drukarce i czytać wszystkie dokumenty, listy i raporty, które są do niej wysyłane do druku. Jeśli port USB jest włączony (aby umożliwić użytkownikom drukowanie z pendrive’a), może zobaczyć wszystko na podłączanym do drukarki pendrive – i, jeśli chciałby, zainfekować sam pendrive w celu dalszego potencjalnego ruchu bocznego.”
Błędy wykryte w analizie czcionek są również podatne na „robaki”. Osoba atakująca może stworzyć samo rozprzestrzeniające się złośliwe oprogramowanie, które automatycznie włamuje się do dotkniętych nim urządzeń wielofunkcyjnych, a następnie rozprzestrzenia się na inne wrażliwe jednostki w tej samej sieci.
Wykorzystywanie luk nie jest łatwe i wymagałoby hakera z doświadczeniem. Ujawnione luki w portach są klasyfikowane jako CVE-2021-39237 (ważność krytyczna), a luki w analizie czcionek jako CVE-2021-39238 (ważność wysoka).
Firma F-Secure nie znalazła niczego, co by sugerowało, że te luki mogły zostać wykorzystane, zanim zostały naprawione.
„Łatwo zapomnieć, że nowoczesne urządzenia wielofunkcyjne to w pełni funkcjonalne komputery, które mogą zagrozić cyberprzestępcom, podobnie jak inne stacje robocze i punkty końcowe. Podobnie jak inne punkty końcowe, osoby atakujące mogą wykorzystać zhakowane urządzenie, aby uszkodzić infrastrukturę i operacje organizacji. Doświadczeni cyberprzestępcy postrzegają niezabezpieczone urządzenia jako możliwości, więc organizacje, które nie traktują priorytetowo zabezpieczania swoich urządzeń wielofunkcyjnych, tak jak innych punktów końcowych, są narażone na ataki, takie jak te udokumentowane w naszych badaniach” – wyjaśnił badacz Timo Hirvonen.
Aby złagodzić wszelkie ataki fizyczne, firma F-Secure zaleca monitorowanie drukarek przez system CCTV. Nie zapobiegłoby to atakowi, ale może odstraszyć napastnika i pomogłoby w każdym dochodzeniu w sprawie ataku. Firma F-Secure sugeruje ponadto, że w przypadku tego konkretnego ataku na płycie komunikacyjnej drukarki należy umieścić naklejki antysabotażowe. Uszkodzona naklejka natychmiast wskazywałaby na próbę ataku.
Aby zapobiec atakowi polegającemu na parsowaniu czcionek, naukowcy sugerują, aby najpierw wyłączyć drukowanie z pamięci USB. Po drugie, drukarki powinny być umieszczone w oddzielnej sieci VLAN z zaporą sieciową. Stacje robocze powinny komunikować się z dedykowanym serwerem wydruku, a tylko serwer wydruku powinien komunikować się z drukarką. Aby utrudnić zarówno ruch poprzeczny, jak i komunikację C&C, komunikacja wychodząca z segmentu sieci drukarek powinna być dozwolona tylko do określonych adresów umieszczonych na białej liście.
Wybrany post: Masz drukarkę HP? Polecamy lekturę
