Офисный принтер редко воспринимают как точку входа для взлома, и напрасно. Исследователи по кибербезопасности раскрыли восьмилетние уязвимости, которые затрагивают 150 разных моделей многофункциональных устройств (МФУ) производства HP Inc. Через них злоумышленник может получить контроль над устройством, похитить конфиденциальные данные и проникнуть в корпоративную сеть, чтобы развивать атаку дальше.
Две дыры под общим именем Printing Shellz
Обе уязвимости получили общее название Printing Shellz. Их обнаружили и сообщили в HP исследователи F-Secure Labs Тимо Хирвонен и Александр Большев ещё 29 апреля 2021 года. Патчи производитель выпустил только в ноябре.
Речь идёт о двух идентификаторах:
- CVE-2021-39237 (оценка CVSS 7.1) — уязвимость раскрытия информации, затрагивающая часть устройств HP LaserJet, HP LaserJet Managed, HP PageWide и HP PageWide Managed.
- CVE-2021-39238 (оценка CVSS 9.3) — переполнение буфера в ряде продуктов HP Enterprise LaserJet, HP LaserJet Managed, HP Enterprise PageWide и HP PageWide Managed.
«Уязвимости находятся в коммуникационной плате устройства и в парсере шрифтов, — пояснили Хирвонен и Большев. — Злоумышленник может использовать их для выполнения кода: первая требует физического доступа, а вторую можно эксплуатировать удалённо. Успешная атака позволяет достичь разных целей, включая кражу информации или использование скомпрометированной машины как плацдарма для дальнейших атак на организацию».
Почему это опаснее обычной уязвимости
Критический уровень CVE-2021-39238 объясняется тем, что она червеобразная (wormable). То есть эксплойт способен самораспространяться на другие МФУ внутри заражённой сети — без участия человека, от устройства к устройству.
Гипотетический сценарий атаки выглядит так. Эксплойт для уязвимости парсера шрифтов встраивают в вредоносный PDF-документ, а затем с помощью социальной инженерии убеждают жертву распечатать этот файл. Есть и другой путь: сотрудника заманивают на подставной сайт, и тот прямо из браузера отправляет эксплойт на уязвимое МФУ — это называется межсайтовой печатью (cross-site printing).
«Сайт автоматически и удалённо распечатает документ со специально сформированным вредоносным шрифтом на уязвимом МФУ, давая атакующему право выполнения кода на устройстве», — отметили исследователи.
Что делать
Организациям, где используются уязвимые устройства, настоятельно рекомендуется устанавливать патчи сразу, как только они становятся доступны. Помимо этого стоит применять сегментацию сети и по умолчанию отключить печать с USB-накопителей.
«Хотя эксплуатация этих проблем довольно сложна, публичное раскрытие уязвимостей поможет злоумышленникам понять, что искать при атаке на уязвимые организации», — предупредили Хирвонен и Большев.
Источник: The Hacker News.