HP stelt patches beschikbaar waarmee beveiligingslekken in meer dan 150 soorten multifunctionele printers (MFP) van HP gedicht kunnen worden. Volgens onderzoek van F-Secure kunnen cybercriminelen de beveiligingslekken misbruiken om controle te krijgen over de kwetsbare printers, informatie buit te maken of andere schade aan te richten.
F-Secure Timo Hirvonen en Alexander Bolshev, security consultants bij F-Secure, ontdekten kwetsbaarheden voor fysieke toegangspoorten (CVE-2021-39237) en kwetsbaarheden voor font parsing (CVE-2021-39238) in HP's MFP M725z - onderdeel van de FutureSmart-printerserie van HP. In de door HP gepubliceerde beveiligingsadviezen worden meer dan 150 verschillende producten genoemd die door de kwetsbaarheden zijn getroffen.
De meest effectieve methode om misbruik te maken van de kwetsbaarheden is om een medewerker van een getargette organisatie een kwaadaardige website te laten bezoeken, waardoor de kwetsbare MFP van de organisatie wordt blootgesteld aan een zogeheten cross-site printing aanval. Bij zo’n aanval geeft de website, automatisch, op afstand de kwetsbare MFP opdracht een document met een kwaadaardig font af te drukken. Hierdoor krijgt de aanvaller het recht code op het apparaat uit te voeren.
Een aanvaller met deze rechten op het uitvoeren van code zou stilletjes alle informatie kunnen stelen die via de MFP wordt uitgevoerd (of in de cache wordt opgeslagen). Dit omvat niet alleen documenten die worden afgedrukt, gescand of gefaxt, maar ook informatie zoals wachtwoorden en aanmeldingsgegevens die het apparaat met de rest van het netwerk verbinden. Aanvallers kunnen gecompromitteerde MFP's ook als invalspunt gebruiken om verder in het netwerk van een organisatie door te dringen en andere doelen na te streven (zoals het stelen of wijzigen van andere gegevens, het verspreiden van ransomware, etc.).
Hoewel de onderzoekers hebben vastgesteld dat het uitbuiten van de kwetsbaarheden moeilijk genoeg is om veel aanvallers met weinig vaardigheden ervan te weerhouden ze te gebruiken, zouden ervaren cybercriminelen ze wel kunnen gebruiken bij meer gerichte operaties.
Bovendien ontdekten de onderzoekers dat de font parsing kwetsbaarheden wormbaar zijn, wat betekent dat aanvallers zelfverspreidende malware kunnen maken die automatisch aangetaste MFP's infecteert en zich vervolgens verspreidt naar andere apparaten in hetzelfde netwerk.
“Mensen vergeten al snel da teen MFP een volledig functionerende computer is die door cybercriminelen kunnen worden aangevallen, net als pc’s en andere endpoints.
Net als bij andere endpoints kunnen aanvallers een gecompromitteerde printer gebruiken om de infrastructuur en operatie van een organisatie aan te vallen. Ervaren cybercriminelen zien onbeveiligde apparaten als kansen. Organisaties die de beveiliging van hun MFP’s niet net zo serieus nemen als dat van andere endpoints stellen hun organisatie bloot aan aanvallen zoals wij die omschrijven in het onderzoek”, legt Hirvonen uit.
Beveiligen van MFP’s
Gezien de status van HP als toonaangevende leverancier van MFP's met een geschat marktaandeel van 40% in de markt voor hardware-randapparatuur*, gebruiken waarschijnlijk veel bedrijven over de hele wereld kwetsbare apparaten.
Hirvonen en Bolshev namen afgelopen voorjaar contact op met HP met hun bevindingen en werkten samen met HP aan het patchen van de kwetsbaarheden. HP publiceert nu firmware-updates en beveiligingswaarschuwingen voor de getroffen apparaten.
Hoewel de moeilijkheidsgraad van de aanval het voor sommige aanvallers onpraktisch maakt, zeggen de onderzoekers dat het voor organisaties die het doelwit zijn van geavanceerde aanvallen belangrijk is om hun kwetsbare MFP's te beveiligen.
