Vulnerabilidades que datan desde hace 8 años en impresoras HP afectan a 150 modelos
Investigadores han descubierto varias vulnerabilidades que afectan al menos a 150 modelos de impresoras multifuncionales (impresión, escaneo, fax) fabricadas por Hewlett Packard.
Las vulnerabilidades descubiertas por los investigadores de seguridad de F-Secure, Alexander Bolshev y Timo Hirvonen, se remontan al menos a 2013. Por lo tanto, es probable que hayan expuesto a una gran cantidad de usuarios a ataques cibernéticos durante un período de tiempo considerable.
HP lanzó soluciones para las vulnerabilidades en forma de actualizaciones de firmware para dos de las vulnerabilidades más críticas el 1 de noviembre de 2021.
Estas son CVE-2021-39237 y CVE-2021-39238 . Para obtener una lista completa de los productos afectados, debes hacer clic en los números de seguimiento de los avisos correspondientes.
La primera se refiere a dos puertos físicos expuestos que otorgan acceso completo al dispositivo. Su explotación requiere acceso físico y podría conducir a una posible divulgación de información.
La segunda es una vulnerabilidad de desbordamiento de búfer en el analizador de fuentes, que es mucho más grave, ya que tiene una puntuación CVSS de 9.3. Explotarla brinda a los atacantes una forma de ejecución remota de código.
CVE-2021-39238 también es “wormable”, lo que significa que un potencial atacante podría extenderse rápidamente desde una sola impresora a una red completa.
Como tal, las organizaciones deben actualizar el firmware de su impresora lo antes posible. Esto para evitar infecciones a gran escala que comienzan desde este punto de entrada a menudo ignorado.
Múltiples vectores potenciales
Bolshev e Hirvonen de F-Secure utilizaron una impresora multifunción (MFP) HP M725z como dispositivo de pruebas para descubrir las vulnerabilidades anteriores.
Después de informar sus hallazgos a HP el 29 de abril de 2021, la compañía descubrió que, desafortunadamente, muchos otros modelos también se vieron afectados.
Como explican los investigadores en el informe de F-Secure, hay varias formas de explotar las dos vulnerabilidades. Por ejemplo:
- Impresión desde unidades USB, que es lo que también se utilizó durante la investigación. En las versiones de firmware modernas, la impresión desde USB está desactivada de forma predeterminada.
- Ingeniería social hacia un usuario para que imprima un documento malicioso. Puede ser posible incrustar un exploit para las vulnerabilidades del análisis de fuentes en un PDF.
- Imprimir conectándose directamente al puerto LAN físico.
- Imprimir desde otro dispositivo que esté bajo el control del atacante y en el mismo segmento de red.
- Impresión entre sitios (XSP): enviar el exploit a la impresora directamente desde el navegador mediante HTTP POST al puerto JetDirect 9100/TCP. Este es probablemente el vector de ataque más atractivo.
- Ataque directo a través de los puertos UART expuestos mencionados en CVE-2021-39237, si el atacante tiene acceso físico al dispositivo durante un período breve.
Para explotar CVE-2021-39238, tomaría unos segundos, mientras que un atacante habilidoso podría lanzar un ataque catastrófico basado en CVE-2021-39237 en menos de cinco minutos.
Sin embargo, requeriría algunas habilidades y conocimientos, al menos durante este primer período en el que no se han revelado muchos detalles técnicos.
Además, incluso si las impresoras en sí mismas no son ideales para la prueba de seguridad proactiva, pueden detectar estos ataques monitoreando el tráfico de la red y revisando los registros.
Sin explotación
Finalmente, F-Secure señala que no han visto evidencia de que alguien use estas vulnerabilidades en ataques reales. Por lo tanto, los investigadores de F-Secure fueron probablemente los primeros en detectarlos.
Un portavoz de HP compartió la siguiente declaración:
HP monitorea constantemente el panorama de la seguridad y valoramos el trabajo que ayuda a identificar nuevas amenazas potenciales. Hemos publicado un boletín de seguridad para esta posible vulnerabilidad aquí. La seguridad de nuestros clientes es una prioridad absoluta y los alentamos a estar siempre atentos y a mantener sus sistemas actualizados.