Beveiligingsproblemen ontdekt in 150 printermodellen HP

Inktcartridges in een HP-printer

Beveiligingsonderzoekers hebben twee kritieke kwetsbaarheden gevonden, waar meer dan 150 multifunctionele printermodellen van HP vatbaar voor zijn. Hackers kunnen hierdoor de printer op afstand uitlezen en overnemen, en zelfs toegang tot bedrijfsserver krijgen. Een patch is inmiddels beschikbaar en HP raadt klanten dan ook aan om deze zo snel mogelijk te installeren.

Cybersecuritybedrijf F-Secure ontdekte het lek en heeft er een uitvoerige blog aan gewijd.

Bedrijfsnetwerk infiltreren via de printer

De meest effectieve manier om de gevonden kwetsbaarheden –CVE-2021-39237 en CVE-2021-39238– uit te buiten, is door een medewerker op een onbetrouwbare link te laten klikken. Het bezoeken van een kwaadaardige webpagina is voldoende om aan de haal te gaan met een multifunctionele printer. Via de pagina geeft de aanvaller opdracht aan de printer om een document met malafide lettertypes (fonts) uit te draaien. Daardoor is het mogelijk om van afstand een zogeheten Remote Code Execution (RCE) uit te voeren. De beveiligingsonderzoekers noemen deze digitale inbraakmethode ook wel een cross-site printing attack.

Zonder dat iemand het in de gaten heeft, kan een hacker informatie uit het geheugen van de printer uitlezen. Als iemand een kopie maakt van documenten met financiële of andere bedrijfsgevoelige informatie, of bijvoorbeeld een identiteitsbewijs van een medewerker heeft gescand, belanden deze gegevens in de verkeerde handen. Cybercriminelen kunnen deze informatie gebruiken om meer persoonsgegevens van slachtoffers buit te maken (phishing), de identiteit van een ander aan te nemen (identiteitsfraude) of aan de hoogste bieder te verkopen.

In theorie is het tevens mogelijk om op deze manier inloggegevens van de printer -en dus het bedrijfsnetwerk- te bemachtigen. Via een kleine omweg kunnen hackers dan servers of andere delen van een netwerk infiltreren. Eenmaal binnen kunnen ze proberen om meer rechten te verkrijgen. Dit wordt ook wel de privilege-escalatiefase van een cyberaanval genoemd.

Printers zijn aanvalspunt voor hackers

Wat de kwetsbaarheden nog gevaarlijker maakt, is dat ze ‘wormable’ zijn. Dat betekent dat de kwetsbaarheden gebruikt kunnen worden om malware te verspreiden. Volgens Timo Hirvonen, een van de ontdekkers van de exploits, zijn printers volwaardige computers. “En net als andere endpoints kunnen aanvallers een aangetast apparaat gebruiken om schade toe te brengen aan de infrastructuur en bedrijfsvoering van een organisatie.” Daarom is het goed bedrijven en organisaties ook randapparatuur als printers goed beveiligen.

F-Secure benadrukt dat de exploits verre van eenvoudig zijn uit te voeren. Het ligt niet voor de hand dat beginnende hackers of aanvallers met weinig kennis en ervaring misbruik van de kwetsbaarheden hebben gemaakt. Ervaren hackers daarentegen kunnen deze methoden gebruiken om specifieke doelwitten aan te vallen.

Direct update installeren

CVE-2021-39237 wordt niet als een gevaarlijke dreiging gezien. Op een schaal van 1 tot 10 scoort deze kwetsbaarheid een 4,6. CVE-2021-39238 daarentegen is uiterst gevaarlijk. Volgens de National Vulnerability Database heeft deze een rapportcijfer van 9,8.

HP raadt iedereen aan om de meest recente updates zo snel mogelijk te installeren. De printerfabrikant heeft twee lijsten opgesteld waarop alle getroffen modellen zijn te vinden. Of de exploits daadwerkelijk zijn gebruikt, is niet bekend. In de onderstaande video demonstreren de ontdekkers van de kwetsbaarheden hoe ze via de controle toegang krijgen tot het netwerk waarmee de printer is verbonden.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen