Les chercheurs en cybersécurité ont révélé mardi plusieurs failles de sécurité affectant 150 imprimantes multifonctions (MFP) différentes de HP Inc qui pourraient être potentiellement exploitées par un adversaire pour prendre le contrôle d’appareils vulnérables, voler des informations sensibles et infiltrer les réseaux d’entreprise pour monter d’autres attaques.
Les deux faiblesses – appelées collectivement Impression Shellz – ont été découverts et signalés à HP par les chercheurs de F-Secure Labs Timo Hirvonen et Alexander Bolshev le 29 avril 2021, incitant le fabricant de PC à problème patchs plus tôt ce mois-ci –
- CVE-2021-39237 (score CVSS : 7,1) – Une vulnérabilité de divulgation d’informations affectant certaines imprimantes HP LaserJet, HP LaserJet Managed, HP PageWide et HP PageWide Managed.
- CVE-2021-39238 (score CVSS : 9,3) – Une vulnérabilité de dépassement de mémoire tampon affectant certains produits HP Enterprise LaserJet, HP LaserJet Managed, HP Enterprise PageWide et HP PageWide Managed.
« Les défauts se trouvent dans la carte de communication et l’analyseur de polices de l’unité », ont déclaré Hirvonen et Bolshev. « Un attaquant peut les exploiter pour obtenir des droits d’exécution de code, le premier nécessitant un accès physique tandis que le second peut être accompli à distance. Une attaque réussie permettra à un adversaire d’atteindre divers objectifs, notamment le vol d’informations ou l’utilisation de la machine compromise comme tête de pont pour futures attaques contre une organisation.
L’indice de gravité critique de CVE-2021-39238 provient également du fait que la vulnérabilité est wormable, ce qui signifie qu’elle pourrait être exploitée pour se propager automatiquement à d’autres MFP sur le réseau compromis.
Un scénario d’attaque hypothétique pourrait impliquer l’intégration d’un exploit pour les failles d’analyse des polices dans un document PDF malveillant, puis l’ingénierie sociale de la cible pour imprimer le fichier. Alternativement, un employé de l’organisation victime pourrait être amené à visiter un site Web malveillant, en envoyant l’exploit au MFP vulnérable directement à partir du navigateur Web dans ce qu’on appelle un impression intersites attaque.
« Le site Web imprimerait automatiquement à distance un document contenant une police conçue de manière malveillante sur le MFP vulnérable, donnant à l’attaquant des droits d’exécution de code sur l’appareil », ont déclaré les chercheurs.
Outre l’application de la segmentation du réseau et la désactivation de l’impression à partir des clés USB par défaut, il est fortement recommandé aux organisations utilisant les périphériques concernés d’installer les correctifs dès qu’ils sont disponibles. « Bien que l’exploitation de ces problèmes soit quelque peu difficile, la divulgation publique de ces vulnérabilités aidera les acteurs de la menace à savoir quoi rechercher pour attaquer les organisations vulnérables », ont déclaré Hirvonen et Bolshev.