Llegamos a ustedes gracias a:



Alertas de Seguridad

Las nuevas vulnerabilidades de las impresoras multifunción HP

Muestran por qué debería actualizar y aislar las impresoras

[10/12/2021] Los investigadores de seguridad han publicado detalles sobre dos vulnerabilidades graves que afectan a más de 150 modelos diferentes de impresoras multifunción HP con firmware FutureSmart, que se remontan al menos a nueve años. Los vectores de ataque asociados con las fallas y su impacto sirven como recordatorio de que las impresoras pueden representar riesgos de seguridad significativos para las redes empresariales si no se protegen, actualizan y segmentan adecuadamente.

"Por un lado, las vulnerabilidades se remontan al menos al 2013 y afectan a una gran cantidad de productos HP lanzados, afirmaron investigadores de la firma de seguridad F-Secure, que encontraron las fallas, en su informe. "HP es una gran empresa que vende productos en todo el mundo. Es probable que muchas empresas utilicen estos dispositivos vulnerables. Para empeorar las cosas, muchas organizaciones no tratan a las impresoras como otros tipos de terminales. Eso significa que los equipos de seguridad y TI se olvidan de esta higiene de seguridad básica de los dispositivos, como la instalación de actualizaciones.

La explotación de una de las vulnerabilidades requiere acceso físico, y se puede hacer a través de puertos físicos que están expuestos en su placa de comunicaciones. Un atacante experto con acceso físico a una multifuncional vulnerable necesitaría alrededor de cinco minutos para realizar el ataque y desplegar un implante sigiloso que podría tomar el control total del dispositivo y extraer información potencialmente sensible.

La segunda vulnerabilidad es aún más peligrosa porque se encuentra en el código de análisis de fuentes del firmware y esencialmente permite que cualquier persona, capaz de imprimir un archivo diseñado específicamente, ejecute código malicioso en las multifuncionales vulnerables. La vulnerabilidad se puede usar con gusanos y la explotación se puede lograr en segundos a través de múltiples vectores de ataque remoto, incluso por parte de los usuarios que visitan páginas web maliciosas.

Vulnerabilidad de la impresora HP físicamente explotable

El CVE-2021-39237 que encontraron Timo Hirvonen y Alexander Bolshev, investigadores de F-Secure, se refiere a dos puertos de depuración expuestos en la placa MFP que no requieren autenticación. Al conectarse a estos puertos, los atacantes pueden obtener acceso de shell privilegiado a los diferentes ambientes de ejecución dentro del dispositivo: el ambiente de Interfaz de firmware extensible (EFI, por sus siglas en inglés) -también conocido como BIOS- que maneja el proceso de arranque, el ambiente basado en Linux del panel de escáner y el ambiente Windows CE del panel central de comunicación, que maneja la interfaz gráfica de usuario y contiene la mayoría de los programas que habilitan el conjunto de funciones de la impresora.

Al obtener acceso al shell EFI, los atacantes pueden volcar el contenido del disco duro interno de la impresora en una unidad USB que conectan a la impresora. Esto es importante, porque el disco duro utiliza cifrado de hardware para proteger los datos, pero su contenido se descifra durante el proceso de arranque.

Con acceso de raíz al ambiente Linux, un atacante podría ejecutar comandos e implementar malware, pero también el ambiente Linux tiene acceso Telnet desprotegido al ambiente Windows CE, lo que brinda a los atacantes acceso de línea de comandos administrativos al sistema operativo central de la impresora.

"Un actor malintencionado con acceso físico al dispositivo puede volcar y manipular todos los datos almacenados en el sistema y las particiones de usuario del dispositivo, afirmaron los investigadores en su artículo. "Esto puede permitirles extraer información confidencial, así como instalar un implante de software persistente o basado en memoria. Dicho implante podría usarse para recopilar información que se transmite a través del dispositivo y para un mayor movimiento lateral en la red corporativa. La elección del implante es una cuestión de preferencia: podría ser uno permanente, implantado a través del acceso de shell EFI, o uno en memoria, que podría colocarse en la memoria del ambiente Linux o Windows CE.

HP ha agregado mitigaciones contra los ataques de firmware a lo largo de los años, lo que demuestra que se toma en serio dichos ataques. En el 2015, agregó tres funciones de seguridad al firmware FutureSmart para impresoras HP LaserJet Enterprise: validación de BIOS, firma de código de firmware y verificación de integridad y detección de intrusiones en tiempo de ejecución. Los investigadores realizaron su análisis en una versión de firmware FutureSmart 2013.

En su boletín de seguridad, HP describe a CVE-2021-39237 como una falla en la divulgación de información, pero la califica como una de alta gravedad. Los investigadores de F-Secure le afirman a CSO que los parches de HP para esta vulnerabilidad hacen que las consolas EFI, Linux y Windows CE sean de solo lectura, por lo que la entrada ya no está permitida y que se agregó una contraseña para la conexión Telnet entre el ambiente Linux y Windows. CE.

Vulnerabilidad de la impresora HP explotable de forma remota

La segunda vulnerabilidad, rastreada como CVE-2021-39238, es mucho más peligrosa porque puede explotarse de múltiples maneras, incluso de forma remota para desencadenar un desbordamiento del búfer y potencialmente lograr la ejecución de código arbitrario. Consiste en dos problemas de corrupción de memoria en el código de análisis de fuentes de la impresora, que son similares a un defecto de análisis de fuentes encontrado en Java en el 2013 por el investigador Joshua J. Drake y utilizado en el concurso Pwn2Own.

Dado que esto parece provenir de un problema más genérico con el análisis de fuentes en diferentes implementaciones en distintos lenguajes de programación, es posible que los dispositivos de otros proveedores de impresoras también tengan esta vulnerabilidad, pero los investigadores de F-Secure no han investigado MFPs de otros fabricantes.

La falla de análisis de fuentes puede explotarse incrustando el exploit en un archivo y luego enviándolo para que se imprima a través de las muchas opciones de impresión que ofrece el dispositivo. Esto incluye la impresión desde una unidad USB (desactivada de forma predeterminada en las versiones de firmware modernas); imprimir conectándose directamente al puerto LAN físico; imprimir a través de la red desde otro dispositivo que se encuentre en el mismo segmento de red, lo que hace que la vulnerabilidad se pueda eliminar; e imprimir a través de un navegador enviando una solicitud HTTP POST al puerto JetDirect 9100/TCP de la impresora.

La impresión basada en navegador es el vector de ataque más peligroso porque permite ataques desde fuera de la red de área local. Al visitar un sitio web comprometido o creado con fines malintencionados, el navegador de un usuario puede verse obligado a enviar solicitudes a través de la red local a una dirección IP y un puerto en particular. Esto se conoce como impresión entre sitios (XSP).

El mismo vector de falsificación de solicitudes entre sitios se utilizó en el pasado para aprovechar las vulnerabilidades de los routers domésticos obligando a los navegadores de los usuarios a enviar solicitudes maliciosas a través de sus redes de área local a las interfaces de administración basadas en web de sus routers.

La ingeniería social de un usuario para que imprima un documento malicioso también es un gran vector de ataque, según los investigadores de F-Secure, ya que podría ser posible incrustar un exploit para las vulnerabilidades de análisis de fuentes en un archivo PDF. "Las oportunidades para la ingeniería social son infinitas: recursos humanos imprimiendo un CV antes de una entrevista de trabajo, una recepcionista imprimiendo una tarjeta de embarque, etcétera, afirmaron los investigadores.

Cómo mitigar las vulnerabilidades de la impresora

Estos son solo los ejemplos más recientes de las muchas vulnerabilidades encontradas en las impresoras a lo largo de los años. En el concurso Pwn2Own, a principios de este mes, el equipo de F-Secure logró hackear una impresora multifunción HP LaserJet y convertirla en una máquina de discos. Las vulnerabilidades que utilizaron para ese ataque fueron diferentes y aún no se han revelado públicamente.

Las impresoras pueden presentar a los hackers una gran cantidad de información confidencial para robar en forma de archivos comerciales que los empleados envían para imprimir, pero también son computadoras de red completas para que puedan servir como punto de apoyo dentro de la red desde donde lanzar otros ataques. Desafortunadamente, no tienen el mismo nivel de visibilidad, detección de amenazas y capacidades forenses que las estaciones de trabajo, laptops, servidores y otros activos de TI empresariales.

La defensa contra los ataques a la impresora y la mitigación de posibles riesgos de la impresora requiere algo más que implementar actualizaciones de firmware de forma regular, que es un paso importante. Requiere aislar las impresoras en su propio segmento de red que tenga un firewall adecuado.

Según los investigadores de F-Secure, las estaciones de trabajo y otros dispositivos terminales no deberían poder comunicarse directamente con las impresoras, sino con un servidor de impresión dedicado que actúa como intermediario. Esto no mitigará todos los ataques, como enviar archivos PDF maliciosos con un exploit a una impresora a través de un servidor de impresión, pero evitará la explotación directa de protocolos como JetDirect. También permitirá una pista para futuras auditorías.

A través de dichos protocolos, también se puede restringir la comunicación entre las impresoras y se debe restringir el inicio de comunicaciones salientes, excepto a direcciones IP o hosts incluidos en la lista blanca. Esto es para limitar el impacto de los ataques si ocurren, ya que los implantes maliciosos implementados en las impresoras no podrían llegar a los servidores de comando y control.

HP también tiene una guía de mejores prácticas de seguridad para dispositivos que ejecutan el firmware FutureSmart.