HP corrige errores en más de 150 modelos de impresoras

HP ha publicado parches para una serie de vulnerabilidades que afectan a más de 150 de sus modelos de impresoras multifunción (MFP), que se revelan por primera vez hoy en una divulgación coordinada con los investigadores de F-Secure que los descubrieron.

Las vulnerabilidades en cuestión se rastrean como CVE-2021-39237 y CVE-2021-39238, dos vulnerabilidades del puerto de acceso, que requieren acceso físico, y dos vulnerabilidades de análisis de fuentes. Están clasificados como de gravedad alta y crítica, respectivamente. Si se explota con éxito, los consultores de F-Secure Timo Hirvonen y Alexander Bolshev dijeron que podrían utilizarse para obtener el control total de la red de una empresa objetivo.

“Es fácil olvidar que las impresoras multifunción modernas son computadoras completamente funcionales que los actores de amenazas pueden comprometer al igual que otras estaciones de trabajo y terminales. Y al igual que otros puntos finales, los atacantes pueden aprovechar un dispositivo comprometido para dañar la infraestructura y las operaciones de una organización ”, dijo Hirvonen.

“Los actores de amenazas experimentados ven los dispositivos no seguros como oportunidades, por lo que las organizaciones que no priorizan la protección de sus MFP como otros terminales quedan expuestas a ataques como los documentados en nuestra investigación”.

Hirvonen y Bolshev dijeron que el método más eficaz para explotar estas vulnerabilidades sería engañar a un usuario de la organización objetivo para que visite un sitio web malicioso y exponga su MFP a un ataque de impresión entre sitios mediante el cual el sitio web imprime automáticamente de forma remota un documento que contiene un documento creado con fines malintencionados. fuente en el dispositivo vulnerable, dados los derechos de ejecución del código del atacante.

Más contenido para leer:  DE-CIX Dallas achieves peak traffic milestone of 1Tbps

Desde allí, el atacante puede robar cualquier dato que se esté ejecutando, o que se haya almacenado en caché, en la impresora, incluidos no solo los documentos impresos, escaneados o enviados por fax, sino también las contraseñas y las credenciales de inicio de sesión utilizadas para conectar la impresora a la red. En efecto, esto convierte a la impresora en una cabeza de playa en la red desde donde los atacantes pueden dispersarse, establecer persistencia y llevar a cabo ataques más profundos y disruptivos hasta la exfiltración de datos y la ejecución de ransomware.

Hirvonen y Bolchev creen que la explotación es lo suficientemente difícil como para evitar que los actores poco calificados los usen, mientras que los atacantes más experimentados podrían usarlos fácilmente en operaciones específicas.

“Un atacante experto podría explotar con éxito los puertos físicos en poco más de cinco minutos. Explotar el analizador de fuentes solo tomaría unos segundos ”, advirtieron. “Sin embargo, estos no son frutos maduros que serían obvios para muchos actores de amenazas. El problema del análisis de fuentes no es el más fácil de encontrar o explotar, y cualquier cosa que requiera acceso físico plantea barreras logísticas que los actores de amenazas deben superar “.

“Las grandes empresas, las empresas que trabajan en sectores críticos y otras organizaciones que enfrentan atacantes altamente capacitados y con buenos recursos deben tomar esto en serio. No hay necesidad de entrar en pánico, pero deben evaluar su exposición, para estar preparados para estos ataques ”

Timo Hirvonen, F-Secure

Además, CVE-2021-39238, las vulnerabilidades de análisis de fuentes, se pueden usar con gusanos, lo que significa que un atacante podría crear un malware autopropagado que pondría automáticamente en peligro las impresoras en riesgo y se propagaría desde ellas a otros dispositivos.

No hay evidencia que sugiera que alguna de las vulnerabilidades haya sido explotada en la naturaleza, pero, como suele ser el caso cuando se revelan nuevos errores, es probable que los actores de amenazas los utilicen rápidamente, por lo que los usuarios de los dispositivos afectados, según HP. advertencias vinculadas anteriormente, deben parchearlas sin demora, particularmente si se considera que la organización está en mayor riesgo de sufrir un ataque dirigido por parte de actores sofisticados.

“Las grandes empresas, las empresas que trabajan en sectores críticos y otras organizaciones que enfrentan atacantes altamente capacitados y con buenos recursos deben tomar esto en serio”, dijo Hirvonen. “No hay necesidad de entrar en pánico, pero deben evaluar su exposición, para estar preparados para estos ataques. Aunque el ataque es avanzado, se puede mitigar con lo básico: segmentación de la red, administración de parches y refuerzo de la seguridad “.

Además, hay una serie de pasos adicionales que los defensores pueden tomar para proteger su propiedad de MFP, incluida la limitación del acceso físico, la segregación de MFP en una VLAN con firewall propio, el uso de pegatinas anti-manipulación para indicar que un dispositivo ha sido manipulado físicamente, siguiendo las recomendaciones las mejores prácticas del proveedor para evitar modificaciones no autorizadas a la configuración de seguridad y colocar las MFP bajo vigilancia por video para registrar cualquier acceso físico.

HP fue informado de las vulnerabilidades a fines de abril de 2021 y desde entonces ha trabajado extensamente con F-Secure para parchearlas.

Por cierto, los exploits no están vinculados a un exploit que Hirvonen y Bolshev utilizaron contra una impresora HP Laserjet para que funcione. Atónito por AC / DC en el reciente evento Pwn2Own.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales