Des chercheurs en sécurité ont publié des détails sur deux vulnérabilités graves qui ont un impact sur plus de 150 modèles d'imprimantes multifonctions HP différents avec le micrologiciel FutureSmart remontant à au moins neuf ans. Les vecteurs d'attaque associés aux failles et leur impact rappellent que les imprimantes peuvent présenter des risques de sécurité importants pour les réseaux d'entreprise si elles ne sont pas correctement sécurisées, mises à jour et segmentées.
"D'une part, les vulnérabilités remontent à au moins 2013 et affectent un grand nombre de produits HP commercialisés", ont déclaré des chercheurs de la société de sécurité F-Secure, qui ont découvert les failles, dans leur rapport. « HP est une grande entreprise qui vend des produits dans le monde entier. De nombreuses entreprises utilisent probablement ces appareils vulnérables. Pour aggraver les choses, de nombreuses organisations ne traitent pas les imprimantes comme les autres types de terminaux. Cela signifie que les équipes informatiques et de sécurité les oublient. l'hygiène de sécurité de base des appareils, telle que l'installation de mises à jour."
L'exploitation de l'une des vulnérabilités nécessite un accès physique et peut être effectuée via des ports physiques exposés sur sa carte de communication. Un attaquant qualifié ayant un accès physique à un MFP vulnérable aurait besoin d'environ cinq minutes pour effectuer l'attaque et déployer un implant furtif qui pourrait prendre le contrôle total de l'appareil et exfiltrer des informations potentiellement sensibles.
La deuxième vulnérabilité est encore plus dangereuse car elle se trouve dans le code d'analyse de police du micrologiciel et permet essentiellement à toute personne pouvant imprimer un fichier spécialement conçu d'exécuter un code malveillant sur les MFP vulnérables. La vulnérabilité est wormable et l'exploitation peut être réalisée en quelques secondes via plusieurs vecteurs d'attaque à distance, y compris par des utilisateurs visitant des sites Web malveillants.
Sommaire
Vulnérabilité d'imprimante HP physiquement exploitable
Le CVE-2021-39237 découvert par les chercheurs de F-Secure, Timo Hirvonen et Alexander Bolshev, concerne deux ports de débogage exposés sur la carte MFP qui ne nécessitent pas d'authentification. En se connectant à ces ports, les attaquants peuvent obtenir un accès shell privilégié aux différents environnements d'exécution à l'intérieur du périphérique : l'environnement EFI (Extensible Firmware Interface) – également connu sous le nom de BIOS – qui gère le processus de démarrage, l'environnement Linux du scanner et l'environnement Windows CE de la carte de communication centrale qui gère l'interface utilisateur graphique et contient la plupart des programmes qui activent l'ensemble de fonctionnalités de l'imprimante.
En accédant au shell EFI, les attaquants peuvent vider le contenu du disque dur interne de l'imprimante sur une clé USB qu'ils connectent à l'imprimante. Ceci est important, car le disque dur utilise un cryptage matériel pour protéger les données, mais son contenu est décrypté pendant le processus de démarrage.
Avec un accès root à l'environnement Linux, un attaquant pourrait exécuter des commandes et déployer des logiciels malveillants, mais l'environnement Linux dispose également d'un accès Telnet non protégé dans l'environnement Windows CE, donnant aux attaquants un accès en ligne de commande administratif au système d'exploitation principal de l'imprimante.
"Un acteur malveillant ayant un accès physique à l'appareil est capable de vider et de falsifier toutes les données stockées sur le système et les partitions utilisateur de l'appareil", ont déclaré les chercheurs dans leur article. « Cela peut leur permettre d'exfiltrer des informations confidentielles, ainsi que d'installer un implant logiciel basé sur la mémoire ou persistant. Un tel implant pourrait être utilisé pour collecter des informations qui transitent par l'appareil et pour un mouvement latéral ultérieur dans le réseau de l'entreprise. Le choix de l'implant est une question de préférence : il peut s'agir d'un système permanent, implanté via un accès shell EFI, ou d'un système en mémoire, qui pourrait être mis en mémoire de l'environnement Linux ou Windows CE. »
HP a ajouté des mesures d'atténuation contre les attaques de micrologiciels au fil des ans, montrant qu'il prend ces attaques au sérieux. En 2015, il a ajouté trois fonctions de sécurité au micrologiciel FutureSmart pour les imprimantes HP LaserJet Enterprise : validation du BIOS, signature de code du micrologiciel et vérification de l'intégrité et détection d'intrusion à l'exécution. Les chercheurs ont effectué leur analyse sur une version 2013 du firmware FutureSmart.
Vulnérabilité d'imprimante HP exploitable à distance
La deuxième vulnérabilité, identifiée comme CVE-2021-39238, est beaucoup plus dangereuse car elle peut être exploitée de plusieurs manières, y compris à distance pour déclencher un débordement de tampon et potentiellement provoquer l'exécution de code arbitraire. Il s'agit de deux problèmes de corruption de mémoire dans le code d'analyse de police de l'imprimante qui sont similaires à un défaut d'analyse de police trouvé dans Java en 2013 par le chercheur Joshua J. Drake et utilisé lors du concours Pwn2Own.
Étant donné que cela semble provenir d'un problème plus générique avec l'analyse des polices dans différentes implémentations dans différents langages de programmation, il est possible que les périphériques d'autres fournisseurs d'imprimantes présentent également cette vulnérabilité, mais les chercheurs de F-Secure n'ont pas étudié les MFP d'autres fabricants.
La faille d'analyse des polices peut être exploitée en incorporant l'exploit dans un fichier, puis en l'envoyant à l'impression via les nombreuses options d'impression offertes par l'appareil. Cela inclut l'impression à partir d'une clé USB (désactivée par défaut sur les versions de firmware modernes) ; impression en se connectant directement au port LAN physique ; l'impression sur le réseau à partir d'un autre périphérique qui se trouve dans le même segment de réseau, ce qui rend la vulnérabilité wormable ; et impression via un navigateur en envoyant une requête HTTP POST au port JetDirect 9100/TCP de l'imprimante.
L'impression par navigateur est le vecteur d'attaque le plus dangereux car elle permet des attaques depuis l'extérieur du réseau local. En visitant un site Web compromis ou conçu de manière malveillante, le navigateur d'un utilisateur peut être obligé d'envoyer des requêtes sur le réseau local à une adresse IP et à un port particuliers. Ceci est connu comme impression intersites (XSP).
Le même vecteur de falsification de requêtes intersites a été utilisé dans le passé pour exploiter les vulnérabilités des routeurs domestiques en forçant les navigateurs des utilisateurs à envoyer des requêtes malveillantes sur leurs réseaux locaux aux interfaces d'administration Web de leurs routeurs.
L'ingénierie sociale d'un utilisateur pour qu'il imprime un document malveillant est également un vecteur d'attaque important, selon les chercheurs de F-Secure, car il pourrait être possible d'intégrer un exploit pour les vulnérabilités d'analyse des polices dans un fichier PDF. « Les opportunités d'ingénierie sociale sont infinies : les RH impriment un CV avant un entretien d'embauche, une réceptionniste imprime une carte d'embarquement, etc.
Comment atténuer les vulnérabilités de l'imprimante
Ce ne sont là que les derniers exemples des nombreuses vulnérabilités trouvées dans les imprimantes au fil des ans. Lors du concours Pwn2Own plus tôt ce mois-ci, l'équipe F-Secure a réussi à pirater une imprimante multifonction HP LaserJet et le transformer en jukebox. Les vulnérabilités qu'ils ont utilisées pour cette attaque étaient différentes et n'ont pas encore été divulguées publiquement.
Les imprimantes peuvent présenter aux pirates une mine d'informations sensibles à voler sous la forme de fichiers commerciaux qui sont envoyés par les employés pour être imprimés, mais sont également eux-mêmes des ordinateurs de réseau à part entière afin qu'ils puissent servir de point d'ancrage à l'intérieur du réseau d'où lancer d'autres attaques. Malheureusement, ils n'ont pas le même niveau de visibilité, de détection des menaces et de capacités d'investigation que les postes de travail, ordinateurs portables, serveurs et autres actifs informatiques d'entreprise.
Se défendre contre les attaques d'imprimantes et atténuer les compromissions potentielles d'imprimantes nécessite plus que le simple déploiement de mises à jour régulières du micrologiciel, ce qui est une étape importante. Cela nécessite d'isoler les imprimantes dans leur propre segment de réseau qui est correctement protégé par un pare-feu.
Selon les chercheurs de F-Secure, les postes de travail et autres terminaux ne devraient pas pouvoir communiquer directement avec les imprimantes, mais avec un serveur d'impression dédié qui sert d'intermédiaire. Cela n'atténuera pas toutes les attaques, comme l'envoi de fichiers PDF malveillants avec un exploit à une imprimante via un serveur d'impression, mais cela empêchera l'exploitation directe via des protocoles comme JetDirect. Il permettra également une piste d'audit.
Les imprimantes peuvent également être empêchées de communiquer entre elles via de tels protocoles et devraient être empêchées d'initier des communications sortantes, sauf vers des adresses IP ou des hôtes sur liste blanche. Ceci afin de limiter l'impact des compromissions s'ils se produisent, car les implants malveillants déployés sur les imprimantes ne pourraient pas atteindre les serveurs de commande et de contrôle.
HP a également un guide des meilleures pratiques de sécurité pour les appareils exécutant le micrologiciel FutureSmart.
Commentaires
Laisser un commentaire