Onderzoekers bij F-Secure ontdekten enkele kwetsbaarheden bij meer dan 150 multifunctionele HP-printers. Het gaat hierbij om zwaktes in fysieke toegangspoorten en zogenaamde ‘font parsing’-kwetsbaarheden.
Timo Hirvonen en Alexander Bolshev, onderzoekers bij F-secure, ontdekten ‘font parsing’-kwetsbaarheden (CVE-2021-39238) en kwetsbaarheden in fysieke toegangspoorten (CVE-2021-39237) bij meer dan 150 multifunctionele HP-printers.
De ideale aanval
Dankzij deze kwetsbaarheden kunnen cybercriminelen gebruikers van specifieke organisaties aanzetten om een frauduleuze website te bezoeken. Hierdoor worden bedrijven blootgesteld aan ‘cross-site’ print-aanvallen. De website zet namelijk automatisch het printen van een document met een malafide font in gang, zodat criminelen bepaalde rechten tot de printer en het netwerk ontvangen. Op die manier kunnen ze ongemerkt gevoelige informatie verzamelen.
Deze aanvallen organiseer je echter niet zomaar. Criminelen met beperkte vaardigheden kunnen volgens de onderzoekers waarschijnlijk geen misbruik maken van de kwetsbaarheden.
Malware-wormen
De font parsing-kwetsbaarheden kunnen we ook wel ‘wormbaar’ noemen. Dat betekent dat criminelen zichzelf verspreidende malware kunnen creëren die andere printers uit hetzelfde netwerk aantast.
“Men vergeet wel eens dat moderne multifunctionele printers volledig functionerende computers zijn. Deze kunnen net als andere werkstations en endpoints door misdadigers worden aangetast. Net zoals bij andere endpoints kunnen aanvallers een aangetast toestel gebruiken om de infrastructuur en activiteiten van een organisatie te beschadigen”, legt Hirvonen uit.
De oplossing
De onderzoekers werkten samen met HP om een patch te ontwikkelen voor de kwetsbaarheden. HP zet nu in op firmware-updates en beveiligingswaarschuwingen voor de toestellen in kwestie.
Organisaties kunnen onder andere nog de fysieke toegang tot hun printers beperken, alsook deze afzonderen in een gescheiden VLAN (met firewall).
“Grote bedrijven die actief zijn in risicovolle sectoren moeten deze dreiging serieus nemen. Er is geen reden tot paniek, maar ze moeten hun niveau van blootstelling onderzoeken zodat ze voorbereid zijn op zo’n aanval. Hoewel het een geavanceerde aanval betreft, kan deze worden tegengegaan met basismaatregelen: netwerksegmentatie, patchbeheer en ‘security hardening’”, sluit Hirvonen af.
lees ook