Alvorlig sårbarhed i mere end 150 forskellige printere

Hvornår har du husket at opdatere firmwaren på din printere sidst? De fleste vil sige aldrig, og med dette ligger der en skjult alvorlig indgang til virksomhedens netværk og data hos, jeg vil gætte på, flere end 100.000 danske virksomheder.

Uden at kende det præcise antal, er det måske for lidt med 100.000 berørte, fordi HP er markedets mest solgte printere. Mange af de kendte HP Laserjet-produkter er blandt de printere, der er berørt af de sårbarhederne.

Det er nemt for printere at at blive gemt… Man installere en printer og herefter får den kun opmærksomhed, når de holder op med at virke eller skal have skiftet toner. Men de moderne printere er faktisk computere med langt mere iboende kapacitet end blot at konvertere udskriftskommandoer til blæk eller lasertoner på papir. Blandt andet er de ofte forbundet til et netværk, mange har en indbygget webserver, og nogle kører operativsystemer som Linux eller “indlejrede” udgaver af Windows, såsom Windows CE.

Dette gælder også for mere end 150 forskellige HP multifunktionsprintere, hvor et par sårbarheder blev fundet tidligere på året, der straks bør fikses. Begge betragtes som alvorlige, men man anses for at være af høj kritisk sværhedsgrad. De berørte produkter tilhører familierne Laserjet, Officejet, Pagewide og Scanjet. Fælles for dem er, at de bruger en firmware kaldet FutureSmart. 

Om Futuresmart skriver HP på sin hjemmeside: “Firmware er ligesom operativsystemer på computere altafgørende for alt, hvad printere gør. HP FutureSmart-firmware bruges på alle HP Enterprise-enheder, hvilket betyder, at det er nemt at administrere og vedligeholde en række funktioner på tværs af din flåde – fra brugeroplevelsen til appsupport og sikkerhed. Og fordi vi løbende opdaterer HP FutureSmart, kan du nemt opgradere dine eksisterende printere og få glæde af de nyeste funktioner.”

https://www.hp.com/dk-da/printers/futuresmart-firmware.html

HP udsendte allerede sikkerhedsbulletiner og sikkerhedsopdateringer den 1. november 2007, som fjerner sårbarhederne. Men nu sikkerhedsfirma F-Secure, som meddelte HP disse sårbarheder i april i år, har på et blogindlæg givet flere oplysninger om sårbarheder, og hvordan de kan udnyttes.

F-Secure finder sårbarheder

De to sikkerhedseksperter på F-Secure, der fandt sårbarhederne, Alexander Bolshev og Timo Hirvonen, var oprindeligt på udkig efter nye metoder til virksomhedens “røde team” til at vedtage. De havde adgang til et 90 kg monster af en printer, nemlig Laserjet Enterprise MFP M725, som havde en firmware fra 2013, samme år modellen kom på markedet.

I et dokument om, der handler om hvordan de fungerede, skriver Bolsjev og Hirvonen, at de stort set vendte sig bort muligheden for at udnytte hardware. I stedet fokuserede de på softwaren i printeren.

Vilkårlig kørsel af programkode er det højeste man kan opnå indenfor hacking

I denne artikel vil vi ikke gå i detaljer om, hvad sikkerhedsforskerne gjorde for at finde sårbarhederne – du kan læse om det i detaljer i ovennævnte dokument. Det vigtigste er, at de ledte efter noget, der kunne give dem mulighed for at køre vilkårlig kode på printeren, og de fandt det.

Ifølge Bolshev og Hirvonen, sårbarhederne kunne udnyttes til at stjæle oplysninger eller som et brohoved for fremtidige angreb på det netværk, som printeren er tilsluttet.

Sikkerhedseksperterne nævner en række potentielle angrebsvektorer. De fleste af disse kræver en vis grad af fysisk adgang, men ikke alle. På den printer, som Bolshev og Hirvonen arbejdede på, var det muligt at udnytte sårbarhederne ved hjælp af udskrivning fra en USB-enhed. Denne funktion er som standard deaktiveret i de seneste firmwareversioner. Problemet er blot, at printere ikke lige normalt er i IT Chefens søgelys når man taler om hackingangreb på virksomheden.

Men hvis du kan få adgang til den fysiske netværksport, er en sådan udnyttelse i forbindelse med udskrivning mulig. Det kan være lettere at spørge en person med adgang til at udskrive et PDF-dokument på den pågældende printer, dvs. social engineering. Således kan den mindst alvorlige af sårbarhederne udnyttes.

Hvis hackeren allerede har adgang til en enhed på det samme netværk, enten fysisk eller via internettet, kan den alvorligste sårbarhed udnyttes, når der udskrives til en sårbar printer. Ifølge sikkerhedseksperter betyder det også, at angrebskoden kan bruges som en orm, der spreder sig til andre multifunktionsprintere på netværket.

XSP (Cross-Site Printing)

Bolshev og Hirvonen antager dog, at den mest attraktive angrebsmetode er det, der kaldes XSP (Cross-Site Printing), ved at overtale en bruger til at besøge en ondsindet side og derefter skrive til printeren direkte fra browseren ved hjælp af en HTTP POST-anmodning til Jetdirect port 9100/TCP.

Dette kan også forhindres, f.eks. ved at placere printerne bag en separat firewall, hvor alle porte er lukket og der kun tillades en dedikeret printerserver som mulighed for at kommunikere med printerne.

Sikkerhedseksperterne er ikke klar over, at sårbarhederne er blevet udnyttet i faktiske angreb. De mener, at det tager relativt dygtige angribere til at udnytte dem, hvilket betyder, at få mennesker har brug for panik. Samtidig mener de, at større og velkendte virksomheder og virksomheder i kritiske sektorer bør betragte dette som en realistisk angrebsvektor. 

KILDE: WWW.ICARE.DK / Michael Rasmussen

Scroll til toppen