Sono state identificate due vulnerabilità di sicurezza, vecchie di otto anni, che riguardano circa 150 diversi modelli di stampanti multifunzione di HP.
Poiché risalgono almeno al 2013, i difetti di sicurezza hanno esposto un gran numero di utenti ad attacchi cyber che avrebbero potuto consentire ai criminal hacker di prendere il controllo di dispositivi non sicuri, rubare informazioni sensibili e infiltrarsi nelle reti aziendali per predisporre altri attacchi.
Indice degli argomenti
Dettagli delle vulnerabilità nelle stampanti HP
Le due vulnerabilità – ribattezzate come Printing Shellz – sono state scoperte e segnalate ad HP dai ricercatori Timo Hirvonen e Alexander Bolshev di F-Secure Labs, spingendo il produttore di PC a rilasciare una patch lo scorso primo novembre 2021:
- CVE-2021-39237 (punteggio CVSS: 7.1): una vulnerabilità riguardante la divulgazione di informazioni che interessa alcune stampanti HP LaserJet, HP LaserJet Managed, HP PageWide e HP PageWide Managed;
- CVE-2021-39238 (punteggio CVSS: 9.3): una vulnerabilità di overflow del buffer che colpisce alcuni prodotti HP Enterprise LaserJet, HP LaserJet Managed, HP Enterprise PageWide e HP PageWide Managed.
Come si legge nel rapporto pubblicato dai ricercatori di sicurezza, “un utente malintenzionato potrebbe sfruttare i due difetti per ottenere i diritti di esecuzione del codice, con il primo che richiede l’accesso fisico mentre il secondo può essere eseguito in remoto. Un eventuale sfruttamento positivo delle vulnerabilità consentirà a un hacker di raggiungere vari obiettivi, tra cui il furto di informazioni o l’utilizzo della macchina compromessa come testa di ponte per futuri attacchi contro un’organizzazione”.
Da sottolineare, inoltre, che la valutazione di gravità critica di CVE-2021-39238 deriva anche dal fatto che la vulnerabilità è wormable, il che significa che potrebbe essere sfruttata per propagarsi automaticamente ad altri MFP (Multi-Function Printer) sulla rete compromessa.
Come avviene l’attacco
In un ipotetico scenario di attacco ai danni di una infrastruttura aziendale, per sfruttare le vulnerabilità ad un attaccante basterebbe convincere uno degli utenti che hanno accesso alle stampanti target a visitare un sito web appositamente creato per portare a termine quello che viene definito un attacco di tipo cross-site printing.
“Il sito Web stamperebbe automaticamente in remoto un documento contenente un font dannoso sull’MFP vulnerabile, dando all’hacker i diritti di esecuzione del codice sul dispositivo”, hanno affermato i ricercatori.
A quel punto, l’attaccante sarebbe in grado di acquisire tutti i documenti stampati, acquisiti con lo scanner o inviati mediante il fax della multifunzione, oppure di rubare le credenziali di accesso alla rete locale alla quale è collegata la stampante.
Il dispositivo compromesso, inoltre, potrebbe essere sfruttato come testa di ponte per violare gli altri dispositivi o computer collegati alla rete, in un vero e proprio attacco a catena.
Come proteggersi
Da quanto visto finora è evidente che per mitigare i rischi di sfruttamento delle vulnerabilità Printing Shellz è importante innanzitutto adottare la segmentazione della rete e disabilitare la stampa dalle unità USB per impostazione predefinita.
Chiaramente, poi, è altamente consigliato che le organizzazioni che utilizzano i dispositivi esposti installino il prima possibile le patch ufficiali rese disponibili da HP, così come tutti gli altri aggiornamenti di sicurezza. “Anche se sfruttare questi problemi è alquanto difficile, la divulgazione pubblica di queste vulnerabilità aiuterà i criminal hacker a sapere cosa cercare per attaccare le organizzazioni vulnerabili”, hanno affermato i ricercatori Hirvonen e Bolshev.
Successivamente all’aggiornamento software delle proprie multifunzioni, è utile adottare le seguenti best practice:
- posizionare la stampante in una VLAN separata protetta da un firewall;
- consentire solo connessioni in uscita dalla stampante a un elenco specifico di indirizzi;
- configurare un server di stampa dedicato per la comunicazione tra le workstation e le stampanti.
Questo a sottolineare il fatto che, anche senza installare le patch di correzione delle vulnerabilità, è già possibile limitare i danni di intrusione nell’infrastruttura aziendale adottando le corrette pratiche di segmentazione, sicurezza e gestione della rete, senza sottovalutare quella che potrebbe apparire come una “semplice” stampante.
