Impressora HP permite  execução de código privilegiado por invasores

Impressora HP permite  execução de código privilegiado por invasores a partir de comandos de impressão em paginas web maliciosas. 

Enganar os usuários para que visitem uma página da Web mal-intencionada pode permitir que pessoas mal-intencionadas comprometam 150 modelos de impressoras multifuncionais HP, de acordo com pesquisadores da F-Secure.

A empresa de infosec sediada na Finlândia disse que encontrou falhas “exploráveis” nas impressoras HP que permitem que os invasores “tomem o controle de dispositivos vulneráveis, roubem informações e se infiltrem em redes em busca de outros objetivos, como roubar ou alterar outros dados” – e, inevitavelmente, “espalhando ransomware“.

Com toda a probabilidade, muitas empresas estão usando esses dispositivos vulneráveis“, disseram os pesquisadores da F-Secure Alexander Bolshev e Timo Hirvonen.

Para piorar as coisas, muitas organizações não tratam as impressoras como outros tipos de endpoints. Isso significa que as equipes de TI e segurança esquecem a higiene básica de segurança desses dispositivos, como a instalação de atualizações”.

Enganar um usuário para que ele visite um site malicioso pode, segundo a F-Secure, resulta no que o infosec biz descreveu como um “cross-site printing attack“.

O coração do ataque está no documento impresso do site malicioso: ele contem uma “fonte criada com códigos maliciosos” que concedeu ao invasor privilégios de execução de código na impressora multifuncional.

Esses privilégios podem ser usados ​​para roubar cópias de documentos enviados para impressão, digitalização ou fotocópia usando o dispositivo. Além disso, ele também pode ser usado como apoio para acesso ilícito à rede, uma técnica favorita de gangues de ransomware, entre outras.

Enquanto os pesquisadores determinaram que explorar as vulnerabilidades é difícil o suficiente para evitar que muitos invasores menos qualificados as usem, agentes de ameaças experientes podem fazer uso delas em operações mais direcionadas”, alertou a F-Secure.

Arquivos de fontes com armadilhas eletrônicas são um vetor de ataque antigo. Em 2016, o braço de informações Talos da Cisco alertou sobre uma série de falhas na biblioteca Libgraphite . Da mesma forma, no ano passado, a Microsoft emitiu um alerta sobre falhas exploráveis ​​na biblioteca do Adobe Type Manager .

As vulnerabilidades foram divulgados publicamente há um mês. A vulnerabilidade da fonte é rastreada como CVE-2021-39238 e está listada como afetando as linhas de produtos HP Enterprise LaserJet, LaserJet Managed, Enterprise PageWide e PageWide Managed. É classificado como 9,3 de 10 na escala de gravidade CVSS 3.0.

Muitas organizações não tratam as impressoras como outros tipos de terminais. Isso significa que as equipes de TI e segurança se esquecem da higiene básica de segurança desses dispositivos, como a instalação de atualizações

Um segundo problema é conhecido como CVE-2021-39237 e afeta os mesmos modelos de impressora. Com a classificação 7,1 na escala CVSS v3.0, a HP a descreveu apenas como uma falha de “divulgação de informações“, enquanto a F-Secure indiretamente a chamou de “vulnerabilidades de porta de acesso físico exposto“.

Embora não subestime a seriedade das descobertas da F-Secure, uma pessoa mal-intencionada que obtém acesso físico a um dispositivo em rede é geralmente vista como um trunfo nos círculos de infosec.

A F-Secure aconselhou colocar os multifuncionais dentro de uma VLAN separada com firewall, bem como adicionar controles de segurança física, incluindo adesivos anti-violação e CFTV.

O firmware atualizado está disponível para download na HP, disse a empresa em um comunicado.

Fonte: The Register

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Primeiro NG Firewall e SD-WAN segura integrados à Microsoft Azure Virtual WAN
  2. Plataforma de ERP anônima vazou centenas de milhares de registros
  3. União é condenada por se omitir em caso de coleta de dados via Windows
  4. Guardicore revela que apenas 2% das empresas usam segmentação
  5. CISA divulga lista de 300 vulnerabilidades que precisam ser corrigidas

Deixe sua opinião!