Wouter Hoeffnagel - 01 december 2021

Ruim honderdvijftig MFPs van HP kwetsbaar voor cyberaanvallen

Ruim honderdvijftig MFPs van HP kwetsbaar voor cyberaanvallen image

HP stelt patches beschikbaar waarmee beveiligingslekken in meer dan 150 soorten multifunctionele printers (MFP) van HP gedicht kunnen worden. Beveiligingsbedrijf F-Secure meldt dat de lekken door cybercriminelen kunnen worden misbruikt om controle te krijgen over kwetsbare printers, informatie buit te maken of andere schade aan te richten.

F-Secure Timo Hirvonen en Alexander Bolshev, security consultants bij F-Secure, ontdekten kwetsbaarheden voor fysieke toegangspoorten (CVE-2021-39237) en kwetsbaarheden voor font parsing (CVE-2021-39238) in HP's MFP M725z, die onderdeel uitmaakt van de FutureSmart-printerserie van HP. In de door HP gepubliceerde beveiligingsadviezen worden meer dan 150 verschillende producten genoemd die door de kwetsbaarheden zijn getroffen. 

Cross-site printing aanval

De meest effectieve methode om misbruik te maken van de kwetsbaarheden is om een medewerker van een getargette organisatie een kwaadaardige website te laten bezoeken, waardoor de kwetsbare MFP van de organisatie wordt blootgesteld aan een zogeheten cross-site printing aanval. Bij zo’n aanval geeft de website, automatisch, op afstand de kwetsbare MFP opdracht een document met een kwaadaardig font af te drukken. Hierdoor krijgt de aanvaller het recht code op het apparaat uit te voeren.

Een aanvaller met deze rechten op het uitvoeren van code zou stilletjes alle informatie kunnen stelen die via de MFP wordt uitgevoerd (of in de cache wordt opgeslagen). Dit omvat niet alleen documenten die worden afgedrukt, gescand of gefaxt, maar ook informatie zoals wachtwoorden en aanmeldingsgegevens die het apparaat met de rest van het netwerk verbinden. Aanvallers kunnen gecompromitteerde MFP's ook als invalspunt gebruiken om verder in het netwerk van een organisatie door te dringen en andere doelen na te streven. Denk hierbij aan het stelen of wijzigen van andere gegevens, maar ook aan het verspreiden van ransomware.

Moeilijk uit te buiten

Hoewel de onderzoekers hebben vastgesteld dat het uitbuiten van de kwetsbaarheden moeilijk genoeg is om veel aanvallers met weinig vaardigheden ervan te weerhouden ze te gebruiken, zouden ervaren cybercriminelen ze wel kunnen gebruiken bij meer gerichte operaties.

Bovendien ontdekten de onderzoekers dat de font parsing kwetsbaarheden wormbaar zijn. Dat betekent dat aanvallers zelfverspreidende malware kunnen maken die automatisch aangetaste MFP's infecteert en zich vervolgens verspreidt naar andere apparaten in hetzelfde netwerk.  

Net als bij andere endpoints kunnen aanvallers een gecompromitteerde printer gebruiken om de infrastructuur en operatie van een organisatie aan te vallen. Ervaren cybercriminelen zien onbeveiligde apparaten als kansen. Organisaties die de beveiliging van hun MFP’s niet net zo serieus nemen als dat van andere endpoints stellen hun organisatie bloot aan aanvallen zoals wij die omschrijven in het onderzoek”, legt Hirvonen uit.

Beveiligen van MFP’s

Gezien de status van HP als toonaangevende leverancier van MFP's met een geschat marktaandeel van 40% in de markt voor hardware-randapparatuur*, gebruiken waarschijnlijk veel bedrijven over de hele wereld kwetsbare apparaten.

Hirvonen en Bolshev namen afgelopen voorjaar contact op met HP met hun bevindingen en werkten samen met HP aan het patchen van de kwetsbaarheden. HP publiceert nu firmware-updates en beveiligingswaarschuwingen voor de getroffen apparaten.

Hoewel de moeilijkheidsgraad van de aanval het voor sommige aanvallers onpraktisch maakt, zeggen de onderzoekers dat het voor organisaties die het doelwit zijn van geavanceerde aanvallen belangrijk is om hun kwetsbare MFP's te beveiligen.

Andere maatregelen

Naast patchen omvatten de maatregelen voor het beveiligen van MFP's:

  • Beperk fysieke toegang tot MFP’s
  • Isoleer MFP's in een afzonderlijk, firewalled VLAN;
  • Gebruik verzegelingsstickers om fysieke manipulatie van apparaten te signaleren;
  • Gebruik sloten (zoals Kensington sloten) om toegang tot interne hardware onder controle te houden;
  • Volg de best practices van leveranciers om ongeoorloofde wijzigingen van beveiligingsinstellingen te voorkomen;
  • Plaats MFP's in door CCTV bewaakte ruimten om elk fysiek gebruik van een gehackt apparaat op te nemen op het moment dat het wordt gecompromitteerd.

"Grote organisaties, bedrijven in kritieke sectoren en andere organisaties die te maken hebben met vaardige en goed uitgeruste aanvallers, moeten dit serieus nemen. Er is geen reden tot paniek, maar zij moeten wel nagaan in hoeverre zij kwetsbaar zijn zodat zij op deze aanvallen zijn voorbereid. Hoewel de aanval geavanceerd is, kan deze met basistechnieken worden tegengegaan: netwerksegmentatie, patch management en versterking van de beveiliging", aldus Hirvonen.

HP meldt in een verklaring: "HP houdt het beveiligingslandschap voortdurend in de gaten en wij waarderen werk dat helpt nieuwe potentiële bedreigingen te identificeren. We hebben hier een beveiligingsbulletin voor deze potentiële kwetsbaarheid gepubliceerd. De beveiliging van onze klanten heeft de hoogste prioriteit en wij moedigen hen aan om altijd waakzaam te blijven en hun systemen up to date te houden."

Meer informatie en een gedetailleerde, technische beschrijving van het onderzoek is hier beschikbaar.

Axians 12/11/2024 t/m 26/11/2024 BN+BW