Impressora HP permite execução de código privilegiado por invasores

03/12/2021 mindsecblog Notícias 5

Impressora HP permite execução de código privilegiado por invasores a partir de comandos de impressão em paginas web maliciosas.

Enganar os usuários para que visitem uma página da Web mal-intencionada pode permitir que pessoas mal-intencionadas comprometam 150 modelos de impressoras multifuncionais HP, de acordo com pesquisadores da F-Secure.

A empresa de infosec sediada na Finlândia disse que encontrou falhas “exploráveis” nas impressoras HP que permitem que os invasores “tomem o controle de dispositivos vulneráveis, roubem informações e se infiltrem em redes em busca de outros objetivos, como roubar ou alterar outros dados” – e, inevitavelmente, “espalhando ransomware“.

“Com toda a probabilidade, muitas empresas estão usando esses dispositivos vulneráveis“, disseram os pesquisadores da F-Secure Alexander Bolshev e Timo Hirvonen.

“Para piorar as coisas, muitas organizações não tratam as impressoras como outros tipos de endpoints. Isso significa que as equipes de TI e segurança esquecem a higiene básica de segurança desses dispositivos, como a instalação de atualizações”.

Enganar um usuário para que ele visite um site malicioso pode, segundo a F-Secure, resulta no que o infosec biz descreveu como um “cross-site printing attack“.

O coração do ataque está no documento impresso do site malicioso: ele contem uma “fonte criada com códigos maliciosos” que concedeu ao invasor privilégios de execução de código na impressora multifuncional.

Esses privilégios podem ser usados para roubar cópias de documentos enviados para impressão, digitalização ou fotocópia usando o dispositivo. Além disso, ele também pode ser usado como apoio para acesso ilícito à rede, uma técnica favorita de gangues de ransomware, entre outras.

“Enquanto os pesquisadores determinaram que explorar as vulnerabilidades é difícil o suficiente para evitar que muitos invasores menos qualificados as usem, agentes de ameaças experientes podem fazer uso delas em operações mais direcionadas”, alertou a F-Secure.

Arquivos de fontes com armadilhas eletrônicas são um vetor de ataque antigo. Em 2016, o braço de informações Talos da Cisco alertou sobre uma série de falhas na biblioteca Libgraphite . Da mesma forma, no ano passado, a Microsoft emitiu um alerta sobre falhas exploráveis na biblioteca do Adobe Type Manager .

As vulnerabilidades foram divulgados publicamente há um mês. A vulnerabilidade da fonte é rastreada como CVE-2021-39238 e está listada como afetando as linhas de produtos HP Enterprise LaserJet, LaserJet Managed, Enterprise PageWide e PageWide Managed. É classificado como 9,3 de 10 na escala de gravidade CVSS 3.0.

Muitas organizações não tratam as impressoras como outros tipos de terminais. Isso significa que as equipes de TI e segurança se esquecem da higiene básica de segurança desses dispositivos, como a instalação de atualizações

Um segundo problema é conhecido como CVE-2021-39237 e afeta os mesmos modelos de impressora. Com a classificação 7,1 na escala CVSS v3.0, a HP a descreveu apenas como uma falha de “divulgação de informações“, enquanto a F-Secure indiretamente a chamou de “vulnerabilidades de porta de acesso físico exposto“.

Embora não subestime a seriedade das descobertas da F-Secure, uma pessoa mal-intencionada que obtém acesso físico a um dispositivo em rede é geralmente vista como um trunfo nos círculos de infosec.

A F-Secure aconselhou colocar os multifuncionais dentro de uma VLAN separada com firewall, bem como adicionar controles de segurança física, incluindo adesivos anti-violação e CFTV.

O firmware atualizado está disponível para download na HP, disse a empresa em um comunicado.