La vulnerabilidad de la impresora HP de 8 años afecta a 150 modelos de impresora

Los investigadores descubrieron varias vulnerabilidades que afectan al menos a 150 impresoras multifunción (impresión, escaneo, fax) fabricadas por Hewlett Packard.

Dado que las fallas descubiertas por los investigadores de seguridad de F-Secure, Alexander Bolshev y Timo Hirvonen, se remontan al menos a 2013, es probable que hayan expuesto a un gran número de usuarios a ataques cibernéticos durante un período de tiempo considerable.

HP lanzó correcciones de vulnerabilidades en forma de actualizaciones de firmware para dos de los defectos más críticos el 1 de noviembre de 2021.

Estos son CVE-2021-39237 y CVE-2021-39238. Para obtener una lista completa de los productos afectados, haga clic en los números de seguimiento para ver las alertas correspondientes.

El primero se refiere a dos puertos físicos expuestos que garantizan un acceso completo al dispositivo. La explotación requiere acceso físico y podría conducir a la posible divulgación de información.

La segunda es una vulnerabilidad de desbordamiento de búfer en el analizador de caracteres, que es mucho más grave, con una puntuación CVSS de 9,3. La explotación ofrece a los actores de amenazas una forma de ejecutar código de forma remota.

CVE-2021-39238 también es "desparasitable", lo que significa que un actor de amenazas podría extenderse rápidamente desde una sola impresora a una red completa.

Por lo tanto, las organizaciones deben actualizar el firmware de la impresora lo antes posible para evitar infecciones a gran escala a partir de este punto de entrada que a menudo se pasa por alto.

Índice de contenidos
  1. Más operadores potenciales
  2. Métodos de mitigación

Más operadores potenciales

Bolshev e Hirvonen de F-Secure utilizaron una unidad de impresora multifunción (MFP) HP M725z como banco de pruebas para descubrir los defectos anteriores.

Después de informar sus hallazgos a HP el 29 de abril de 2021, la compañía descubrió que, desafortunadamente, varios otros modelos también se vieron afectados.

Como explican los investigadores en el informe de F-Secure, hay varias formas de explotar los dos defectos, que incluyen:

  • Impresión desde memorias USB, que también se utilizó durante la búsqueda. En las versiones de firmware modernas, la impresión USB está desactivada de forma predeterminada.
  • Ingeniería social de un usuario para imprimir un documento malicioso. Puede ser posible incrustar un exploit para las vulnerabilidades del análisis de personajes en un PDF.
  • Imprima conectándose directamente al puerto LAN físico.
  • Imprima desde otro dispositivo bajo el control del atacante y en el mismo segmento de red.
  • Impresión entre sitios (XSP): envío del exploit a la impresora directamente desde el navegador mediante HTTP POST al puerto JetDirect 9100 / TCP. Este es probablemente el vector de ataque más atractivo.
  • Ataque directo a través de los puertos UART expuestos mencionados en CVE-2021-39237, si el atacante tiene acceso físico al dispositivo durante un período breve.
Uno de los flujos de ataque para CVE-2021-38238
Uno de los flujos de ataque para CVE-2021-38238
Fuente: F-Secure

Tomaría unos segundos explotar CVE-2021-39238, mientras que un atacante experimentado podría lanzar un asalto catastrófico basado en CVE-2021-39237 en menos de cinco minutos.

Sin embargo, requeriría algunas habilidades y conocimientos, al menos en este período inicial en el que no se hacen públicos muchos detalles técnicos.

Además, si bien las impresoras en sí mismas no son ideales para la revisión de seguridad proactiva, pueden detectar estos ataques monitoreando el tráfico de la red y examinando los registros.

Finalmente, F-Secure señala que no ha visto ninguna evidencia de que alguien haya utilizado estas vulnerabilidades en ataques reales. Por lo tanto, los investigadores de F-Secure fueron probablemente los primeros en detectarlos.

Un portavoz de HP compartió el siguiente comentario con Bleeping Computer:

HP monitorea constantemente el panorama de la seguridad y apreciamos el trabajo que ayuda a identificar nuevas amenazas potenciales. Hemos publicado un boletín de seguridad para esta potencial vulnerabilidad. aquí. La seguridad de nuestros clientes es una prioridad absoluta y los alentamos a permanecer atentos y mantener sus sistemas actualizados.

Métodos de mitigación

Además de actualizar el firmware en los dispositivos afectados, los administradores pueden seguir estas pautas para mitigar el riesgo de defectos:

  • Desactivar la impresión USB
  • Coloque la impresora en una VLAN separada detrás de un firewall
  • Permitir solo conexiones salientes desde la impresora a una lista específica de direcciones
  • Configure un servidor de impresión dedicado para la comunicación entre estaciones de trabajo e impresoras

El último punto enfatiza que incluso sin parchear, si se siguen las prácticas adecuadas de segmentación de la red, las posibilidades de sufrir daños por intrusos en la red disminuyen significativamente.

Una guía detallada sobre las mejores prácticas para asegurar la impresora está disponible en el documento técnico de HP. También puede ver una demostración en video a continuación sobre cómo aprovechar esta vulnerabilidad de la impresora HP.

¿Qué te ha parecido?
Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad