F-Secure ontdekt veiligheidsrisico’s bij meer dan 150 printermodellen van HP
HP brengt patches uit tegen beveiligingslekken, die personen met slechte bedoelingen kunnen gebruiken om informatie te stelen of aanvallen op organisaties uit te voeren.
Brussel, 30 november 2021 - HP Inc. heeft patches uitgebracht die een oplossing zijn voor de kwetsbaarheden die het cybersecuritybedrijf F-Secure wist bloot te leggen in meer dan 150 multifunctionele printers (MFP’s) van HP. F-Secure maakte vandaag de resultaten van het onderzoek bekend dat blootlegt hoe aanvallers gebruik kunnen maken van de kwetsbaarheden om de controle van toestellen over te nemen, informatie te stelen, en zo verder door te dringen in de netwerken om nog meer schade aan te richten.
Timo Hirvonen en Alexander Bolshev, veiligheidsconsultants bij F-Secure, ontdekten kwetsbaarheden bij fysieke toegangspoorten (CVE-2021-39237) en zogenaamde font parsing kwetsbaarheden (CVE-2021-39238) in HP’s MPF M725z, onderdeel van de FutureSmart-printerlijn van HP. Uit beveiligingsadviezen die HP publiceerde blijkt dat meer dan 150 verschillende producten blootgesteld zijn aan de veiligheidsrisico’s.
Een effectieve aanvalsmethode zou bijvoorbeeld kunnen zijn dat een gebruiker wordt aangezet om een frauduleuze website te bezoeken. Deze website geeft zonder dat de gebruiker dit beseft een print-opdracht met daarin een maliciously crafted font. Via dit gecorrumpeerde lettertype-bestand dat de printer moet interpreteren, krijgt de crimineel bepaalde rechten tot de printer en dus ook tot het netwerk. Met deze rechten op het toestel kan zij of hij ongemerkt alle informatie stelen die naar de MFP gestuurd is (of in de cache zit). Deze vorm van hacking noemt men een ‘cross-site printing’ aanval.
Alternatief kan ook een verdacht document - zoals bijvoorbeeld een CV met daarin een gecorrumpeerd lettertype-bestand - worden doorgestuurd met de vraag om dit document af te drukken.
Het gaat niet alleen om documenten die afgedrukt, gescand of per fax verstuurd zijn, maar ook om gevoelige informatie zoals paswoorden en logingegevens, die het apparaat verbinden met de rest van het netwerk. Aanvallers zouden gecompromitteerde MFP’s ook kunnen gebruiken als bruggenhoofd, om zo verder door te dringen in het netwerk van de organisatie. Dat maakt het mogelijk om bijvoorbeeld andere gegevens te stelen of te wijzigen, of ransomware te verspreiden.
De onderzoekers stelden vast dat het niet eenvoudig is om misbruik te maken van de kwetsbaarheden, zodat aanvallers met beperkte vaardigheden er wellicht niets mee kunnen doen. Mensen met slechte bedoelingen en veel ervaring zouden er in doelgerichte acties wél veel schade mee kunnen aanrichten.
Bovendien ontdekten de onderzoekers dat de font parsing kwetsbaarheden wormbaar zijn, wat betekent dat aanvallers zelfverspreidende malware kunnen ontwikkelen, die automatisch kwetsbare MFP’s aantast en vervolgens verder verspreidt naar andere kwetsbare toestellen in hetzelfde netwerk.
“Men vergeet wel eens dat moderne MFP’s volledig functionerende computers zijn, die net als andere werkstations en endpoints door misdadigers kunnen worden aangetast. Net zoals bij andere endpoints kunnen aanvallers een aangetast toestel gebruiken om de infrastructuur en activiteiten van een organisatie te beschadigen. Fraudeurs met ervaring zien onbeveiligde toestellen als opportuniteiten. Organisaties die geen prioriteit maken van het afdoende beveiligen van hun MFP’s, zoals andere endpoints, stellen zich dus bloot aan aanvallen zoals diegene die we in ons onderzoek hebben gedocumenteerd”, legt Hirvonen uit.
Advies voor het beveiligen van MFP’s
HP is een van de marktleiders op vlak van MFP’s, met een geschat marktaandeel van 40% inzake hardware-randapparatuur*. Het is dus niet ondenkbaar dat andere leveranciers over de hele wereld even kwetsbare apparaten aanbieden.
Hirvonen en Bolshev contacteerden HP afgelopen lente met hun bevindingen en werkten samen met het bedrijf om een patch te ontwikkelen tegen de kwetsbaarheden. HP heeft nu firmware updates en beveiligingswaarschuwingen voor de getroffen toestellen gepubliceerd.
Hoewel de moeilijkheidsgraad van de aanval ervoor zorgt dat niet elke aanvaller er schade mee kan aanrichten, stellen de onderzoekers dat het voor organisaties die regelmatig het doelwit zijn van geavanceerde aanvallen belangrijk is om hun kwetsbare MFP’s te beschermen.
Naast de patch zijn er nog andere veiligheidsmaatregelen voor MFP’s, die organisaties in acht dienen te nemen:
- Fysieke toegang tot MFP’s beperken.
- MFP’s afzonderen in een afgescheiden VLAN met een firewall.
- Gebruik van anti-tamper stickers die fysieke manipulatie van de toestellen aangeven.
- Gebruik maken van sloten (zoals Kensingtonsloten) om de toegang tot interne hardware te beperken.
- De adviezen van de leveranciers voor het vermijden van niet-toegelaten wijzigingen aan de beveiligingsinstellingen nauwgezet opvolgen.
- Beveiligingscamera’s plaatsen in ruimtes waar MFP’s zich bevinden, om elk fysiek gebruik van het gehackte apparaat op te nemen op het moment dat het werd aangetast.
“Grote bedrijven, ondernemingen die actief zijn in risicovolle sectoren en andere organisaties die potentieel het doelwit zijn van ervaren misdadigers moeten deze dreiging serieus nemen. Er is geen reden tot paniek, maar ze moeten hun niveau van blootstelling onderzoeken zodat ze voorbereid zijn op zo’n aanval. Hoewel het een geavanceerde aanval betreft, kan deze worden tegengegaan met basismaatregelen: netwerksegmentatie, patchbeheer en security hardening”, zegt Hirvonen.
Een gedetailleerd, technisch verslag van het onderzoek is beschikbaar op F-Secure Labs: https://labs.f-secure.com/publications/printing-shellz.
*Bron: https://www.idc.com/promo/hardcopy-peripherals
Tom Van de Wiele van F-Secure is beschikbaar voor interviews via Talking Birds Public Relations.
Bram Boriau
