Спецпроекты

ПО Безопасность Бизнес Маркет

Во всемирно известных бизнес-принтерах нашлась критическая уязвимость

HP пропатчила уязвимость в 54 моделях своих принтеров корпоративного класса. Уязвимость, обнаруженная в августе 2017 г., позволяет исполнить на устройстве вредоносный код.

Уязвимость в принтерах HP

Компания HP выпустила патч,чтобы закрыть опасную уязвимость в своих принтерах, которая позволяет хакеру удаленно запустить на устройстве исполнение вредоносного кода. Уязвимость, получившая название CVE-2017-2750, была найдена исследователями безопасности из сообщества FoxGlove Security. Она оценивается в 8,1 балла из 10 по шкале Общей системы оценки уязвимостей (CVSS).

Уязвимость присутствует во многих моделях корпоративного класса, включая HP Color LaserJet Enterprise M651, HP Color LaserJet M680, HP LaserJet Enterprise Flow MFP M631 и HP PageWide Enterprise Color X556. В общей сложности HP перечисляет в официальном заявлении на сайте поддержки 54 уязвимых модели. Исследователи сообщили компании о проблеме в августе 2017 г.

Технические особенности

Во время тестирования принтеров HP PageWide Enterprise Color MFP 586 и HP Color LaserJet Enterprise M553 команда FoxGlove обнаружила, что может провести реверс-инжиниринг файла .BDL в прошивке HP. После этого исследователи получили возможность написать и загрузить собственные файлы прошивки, чтобы понять, где размещается механизм проверки подписи и обойти его.

За счет несовершенств динамически подключаемой библиотеки (DLL) проверки подписи участники FoxGlove смогли затем использовать полученную информацию для разработки вредоносного кода, предназначенного специально для прошивки ряда принтеров HP. Как выяснилось, цифрами, которые содержатся во фрагментах int32_2 и int32_3, можно манипулировать так, что часть DLL-файлов с проверенными подписями получится отделить от собственно исполняемого кода.

В 54 моделях бизнес-принтеров HP нашлась критическая уязвимость

Помимо обнаружения CVE-2017-2750 исследователи также нашли способ получить задания на печать, защищенные PIN-кодом, используя обход каталога, ошибку манипулирования PostScript и два незащищенных условия перезагрузки.

Взлом шифрования

Ресурс The Register считает особенно примечательным способ взлома зашифрованного кода, примененный FoxGlove. Во внутреннем хранилище принтеры HP используют шифрование, совместимое с Федеральными стандартами обработки информации (FIPS). Исследователи не пытались проникнуть в хранилище. Вместо этого они заменили привод HP на Toshiba, который не поддерживает это шифрование.

Затем они включили принтер и смогли установить по USB на незащищенный шифрованием диск и ОС, и прошивку, получив таким образом доступ к большей части данных. Чтобы попасть в Windows CE был использован экстрактор nkbintools.

Валерия Шмырова

Короткая ссылка