Kritisk sårbarhet funnet i mer enn 150 ulike HP-skrivere

Har du husket å oppdatere fastvaren til skriveren i det siste?

Kritisk sårbarhet funnet i mer enn 150 ulike HP-skrivere
Mange HP Laserjet-produkter er blant skriverne som er berørt av sårbarhetene omtalt i saken, men det gjelder ikke nødvendigvis modellene på bildet. Foto: HP

Det er fort gjort at skrivere er utstyr som bare installeres og som deretter kun får oppmerksomhet når de slutter å fungere. Men mange moderne skrivere er egentlig datamaskiner med langt mer iboende kapasitet enn bare å konvertere utskriftskommandoer til blekk på papir. Blant annet er de gjerne knyttet til et nettverk, mange har innebygget webserver og noen kjører operativsystemer som Linux eller «embedded»-utgaver av Windows, for eksempel Windows CE.

Mer enn 150 modeller

Dette gjelder også mer enn 150 ulike multifunksjonsskrivere fra HP, hvor det tidligere i år ble funnet et par sårbarheter som bør fjernes. Begge regnes som alvorlige, men den ene anses for å ha kritisk alvorlighetsgrad. De berørte produktene tilhører familiene Laserjet, Officejet,  Pagewide og Scanjet. Felles for dem er at de benytter en fastvare som kalles for Futuresmart. 

HP kom allerede den 1. november med sikkerhetsbulletiner og sikkerhetsoppdateringer som fjerner sårbarhetene. Men nå har sikkerhetsselskapet F-Secure, som varslet HP om sårbarhetene i april i år, kommet med mer informasjon om sårbarhetene og hvordan de kan utnyttes.

Les også

På jakt for selskapet «red team»

De to sikkerhetsforskerne hos F-Secure som fant sårbarhetene, Alexander Bolshev og Timo Hirvonen, var i utgangspunktet på jakt etter nye metoder som selskapets «red team» kunne ta i bruk. De hadde tilgang til et 90 kilograms monster av en skriver, nemlig Laserjet Enterprise MFP M725, som hadde en fastvare fra 2013, samme år som modellen kom på markedet. 

I et dokument om hvordan de jobbet, forteller Bolshev og Hirvonen at de i stor grad slo fra seg muligheten for å utnytte maskinvaren. I stedet fokuserte de på programvaren i skriveren, for de ønsket å tilby det røde laget noe mindre mistenkelig å utnytte enn noe som krever at man åpner dekslene på skriveren. 

Så hva er vel mer naturlig å gjøre med en skriver enn å skrive ut noe?

Kjøring av vilkårlig kode

Vi skal i denne artikkelen ikke gå i detalj på hva sikkerhetsforskerne gjorde for å finne sårbarhetene – det kan du lese om i stor detalj i det nevnte dokumentet. Det viktigste er at de var på jakt etter noe som kunne gi dem mulighet til å kjøre vilkårlig kode på skriveren, og det fant de. 

Ifølge Bolshev og Hirvonen kan sårbarhetene utnyttes til å stjele informasjon eller som et brohode for framtidige angrep mot nettverket som skriveren er tilkoblet. 

Mange angrepsvektorer

Sikkerhetsforskerne nevner en rekke potensielle angrepsvektorer. De fleste av disse krever en viss grad av fysisk tilgang, men ikke alle.

På skriveren som Bolshev og Hirvonen jobbet med, var det mulig å utnytte sårbarhetene ved hjelp av utskrift fra en USB-enhet. Denne muligheten har blitt deaktivert som standard i nyere fastvareversjoner. 

Får man derimot tilgang til den fysiske nettverksporten, er slik utnyttelse i forbindelse med utskrift mulig.

Enklere er det kanskje å be noen med tilgang om å skrive ut et PDF-dokument på den aktuelle skriveren, altså «social engineering». Da kan den minst alvorlige av sårbarhetene utnyttes.

Dersom angriperen allerede har tilgang til en enhet i det samme nettverket, enten fysisk eller via internett, kan man utnytte den mest alvorlige sårbarheten i forbindelse med utskrift på en sårbar skriver. Ifølge sikkerhetsforskerne betyr dette også at angrepskoden kan bli brukt som en orm som sprer seg til andre sårbare multifunksjonsskrivere i nettverket. 

Mest attraktivt

Bolshev og Hirvonen antar likevel at den mest attraktive angrepsmetoden er det som kalles for Cross-Site printing (XSP), ved å lokke en bruker til å besøke en ondsinnet siden, for deretter å skrive til skriveren direkte fra nettleseren ved å bruke et HTTP POST-forespørsel til Jetdirect port 9100/TCP.

Dette kan samtidig forhindres, for eksempel ved å putte skriverne bak en separat brannmur som kun lar en dedikert printserver kommunisere med skriverne.

Sikkerhetsforskerne kjenner ikke til at sårbarhetene har blitt utnyttet i faktiske angrep. De mener at det kreves relativt dyktige angripere for å utnytte dem, noe som gjør at de færreste behøver å få panikk. Samtidig mener de at større og velkjente virksomheter, og virksomheter i kritiske sektorer, bør anse dette som en realistisk angrepsvektor. 

Les også

;