La vulnérabilité d’une imprimante HP vieille de 8 ans affecte 150 modèles d’imprimante

8-year-old HP printer vulnerability affects 150 printer models

Les chercheurs ont découvert plusieurs vulnérabilités affectant au moins 150 imprimantes multifonctions (impression, numérisation, télécopie) fabriquées par Hewlett Packard.

Étant donné que les failles découvertes par les chercheurs en sécurité de F-Secure Alexander Bolshev et Timo Hirvonen remontent au moins à 2013, ils ont probablement exposé un grand nombre d’utilisateurs à des cyberattaques pendant une période de temps considérable.

HP a publié des correctifs pour les vulnérabilités sous la forme de mises à jour du micrologiciel pour deux des failles les plus critiques le 1er novembre 2021.

Ceux-ci sont CVE-2021-39237 et CVE-2021-39238. Pour une liste complète des produits concernés, cliquez sur les numéros de suivi des avis correspondants.

Le premier concerne deux ports physiques exposés qui accordent un accès complet à l’appareil. L’exploiter nécessite un accès physique et pourrait conduire à une divulgation potentielle d’informations.

La seconde est une vulnérabilité de débordement de tampon sur l’analyseur de polices, qui est beaucoup plus grave, avec un score CVSS de 9,3. L’exploiter donne aux acteurs de la menace un moyen d’exécuter du code à distance.

CVE-2021-39238 est également « wormable », ce qui signifie qu’un acteur malveillant pourrait rapidement se propager d’une seule imprimante à un réseau entier.

En tant que telles, les entreprises doivent mettre à niveau le micrologiciel de leur imprimante dès que possible pour éviter les infections à grande échelle qui commencent à partir de ce point d’entrée souvent ignoré.

Plusieurs vecteurs potentiels

Bolshev et Hirvonen de F-Secure ont utilisé une imprimante multifonction (MFP) HP M725z comme banc d’essai pour découvrir les défauts ci-dessus.

Après avoir signalé leurs conclusions à HP le 29 avril 2021, la société a constaté que, malheureusement, de nombreux autres modèles étaient également concernés.

Comme l’expliquent les chercheurs dans le rapport de F-Secure, il existe plusieurs façons d’exploiter les deux failles, notamment :

  • Impression à partir de clés USB, ce qui a également été utilisé lors de la recherche. Dans les versions modernes du firmware, l’impression à partir de l’USB est désactivée par défaut.
  • Ingénierie sociale d’un utilisateur pour qu’il imprime un document malveillant. Il peut être possible d’intégrer un exploit pour les vulnérabilités d’analyse des polices dans un PDF.
  • Impression en se connectant directement au port LAN physique.
  • Impression à partir d’un autre appareil sous le contrôle de l’attaquant et dans le même segment de réseau.
  • Impression intersites (XSP) : envoi de l’exploit à l’imprimante directement depuis le navigateur via un HTTP POST vers le port JetDirect 9100/TCP. C’est probablement le vecteur d’attaque le plus attractif.
  • Attaque directe via les ports UART exposés mentionnés dans CVE-2021-39237, si l’attaquant a un accès physique à l’appareil pendant une courte période.
L'un des flux d'attaque pour CVE-2021-38238
L’un des flux d’attaque pour CVE-2021-38238
Source : F-Secure

Pour exploiter le CVE-2021-39238, cela prendrait quelques secondes, alors qu’un attaquant habile pourrait lancer un assaut catastrophique basé sur le CVE-2021-39237 en moins de cinq minutes.

Cependant, cela nécessiterait des compétences et des connaissances, du moins pendant cette première période où peu de détails techniques sont publics.

De plus, même si les imprimantes elles-mêmes ne sont pas idéales pour un examen de sécurité proactif, elles peuvent détecter ces attaques en surveillant le trafic réseau et en consultant les journaux.

Enfin, F-Secure souligne qu’ils n’ont vu aucune preuve de l’utilisation de ces vulnérabilités dans des attaques réelles. Par conséquent, les chercheurs de F-Secure ont probablement été les premiers à les repérer.

Un porte-parole de HP a partagé le commentaire suivant avec EZpublish-france.fr :

HP surveille en permanence le paysage de la sécurité et nous apprécions le travail qui aide à identifier les nouvelles menaces potentielles. Nous avons publié un bulletin de sécurité pour cette vulnérabilité potentielle ici. La sécurité de nos clients est une priorité absolue et nous les encourageons à toujours rester vigilants et à maintenir leurs systèmes à jour.

Méthodes d’atténuation

Outre la mise à niveau du micrologiciel sur les appareils concernés, les administrateurs peuvent suivre ces directives pour atténuer le risque de défauts :

  • Désactiver l’impression depuis USB
  • Placez l’imprimante dans un VLAN séparé derrière un pare-feu
  • Autoriser uniquement les connexions sortantes de l’imprimante vers une liste d’adresses spécifique
  • Mettre en place un serveur d’impression dédié pour la communication entre les postes de travail et les imprimantes

Le dernier point souligne que même sans correctifs, si des pratiques de segmentation du réseau appropriées sont suivies, les chances de subir des dommages dus aux intrus du réseau diminuent considérablement.

Un guide détaillé des meilleures pratiques pour sécuriser votre imprimante est disponible dans Le document technique de HP. Vous pouvez également regarder une démonstration vidéo de la façon dont cette vulnérabilité de l’imprimante HP peut être exploitée ci-dessous.