Avisos 16 de January, 2012

Actualització de programari per a impressores HP

HP ha publicat actualitzacions de seguretat per a múltiples models d'impressores multifunció, per solucionar dues vulnerabilitats. La més crítica, publicada per investigadors de la Universitat de Columbia, permetria a un atacant instal·lar un firmware modificat que podria comprometre la màquina totalment. Seria possible, entre altres coses, monitoritzar qualsevol informació que sigui impresa o utilitzar la impressora com a proxy d'accés a la xarxa interna des de l'exterior.

Recursos afectats:

Productes afectats:
 
Múltiples impressores multifunció HP amb funcionalitats de connexió a la xarxa.
 
• HP LaserJet Enterprise 500 color M551
 
• HP LaserJet Enterprise 600 M601
 
• HP LaserJet Enterprise 600 M602
 
• HP LaserJet Enterprise 600 M603
 
• HP Color LaserJet CM1312 Multifunction Printer
 
• HP LaserJet Pro CM1415 Color Multifunction Printer
 
• HP Color LaserJet CP1510
 
• HP LaserJet M1522 Multifunction Printer
 
• HP LaserJet Pro CP1525 Color Printer
 
• HP LaserJet Pro M1536 Multifunction Printer
 
• HP Color LaserJet CP2025
 
• HP LaserJet P2035
 
• HP LaserJet P2055
 
• HP Color LaserJet CM2320 Multifunction Printer
 
• HP LaserJet M2727 Multifunction Printer
 
• HP Color LaserJet 3000
 
• HP LaserJet P3005
 
• HP LaserJet Enterprise P3015
 
• HP LaserJet M3027 Multifunction Printer
 
• HP LaserJet M3035
 
• HP Color LaserJet CP3505
 
• HP Color LaserJet CP3525
 
• HP Color LaserJet CM3530
 
• HP Color LaserJet 3800
 
• HP Color LaserJet CP4005
 
• HP LaserJet P4014
 
• HP LaserJet P4015
 
• HP LaserJet 4240
 
• HP LaserJet 4250
 
• HP LaserJet M4345 Multifunction Printer
 
• HP LaserJet 4350
 
• HP LaserJet P4515
 
• HP Color LaserJet Enterprise CP4525
 
• HP Color LaserJet Enterprise CM4540 Multifunction Printer
 
• HP LaserJet Enterprise M4555 Multifunction Printer
 
• HP Color LaserJet 4700
 
• HP Color LaserJet 4730 Multifunction Printer
 
• HP Color LaserJet CM4730 Multifunction Printer
 
• HP LaserJet M5025 Multifunction Printer
 
• HP LaserJet M5035 Multifunction Printer
 
• HP LaserJet 5200L
 
• HP LaserJet 5200N
 
• HP Color LaserJet Professional CP5225 Printer
 
• HP Color LaserJet CP5525
 
• HP Color LaserJet 5550
 
• HP Color LaserJet CP6015
 
• HP Color LaserJet CM6030
 
• HP Color LaserJet CM6040
 
• HP CM8060 Color Multifunction Printer with Edgeline
 
• HP LaserJet 9040
 
• HP LaserJet M9040 Multifunction Printer
 
• HP LaserJet 9050
 
• HP LaserJet M9050 Multifunction Printer
 
• HP 9200c Digital Sender
 
• HP 9250c Digital Sender
 
• HP Color LaserJet 9500


Impacte:

Compromís total del dispositiu, revelació d'informació.
 
Solució:

Actualitzar immediatament el microprogramari de les impressores a un que suporti la verificació de signatura de codi. Si un atacant aconsegueix modificar el microprogramari de la impressora, podria ser impossible determinar posteriorment que està compromesa.
 
En cas que no estigui disponible un firmware actualitzat que el suporti (consultar avís de seguretat del fabricant en Referències), l'única mitigació possible és desactivar la funcionalitat d'actualització remota de microprogramari.
 

A més a més, es recomana tenir en compte les següents bones pràctiques per protegir la impressora d'aquest i altres atacs:
 
• Aplicar llistes de control d'accés (ACLs) i contrasenyes per a la impressió.
 
• Filtrar treballs d'impressió al servidor d'impressió.
 
• Aïllar les impressores dels actius sensibles de la xarxa, i d'Internet.


Detall:

Després de la publicació inicial de la vulnerabilitat a finals de novembre de 2011 i les declaracions oficials de HP rebaixant la gravetat del problema, el 23 de desembre el fabricant va publicar una actualització de firmware de les impressores.
 
El 29 de desembre, durant la celebració del congrés de seguretat 28C3, els investigadors de la Universitat de Columbia van demostrar la instal·lació d'un firmware modificat per actuar com a rootkit.
 
La majoria de dispositius multi-funció HP tenen una funcionalitat d'actualització remota de microprogramari. El procés s'envia mitjançant un treball d'impressió especial que inclou el codi binari del firmware, i indica al dispositiu que s'ha d'actualitzar amb ell. La vulnerabilitat es basa en que els dispositius no tenen cap mecanisme de comprovació d'integritat ni autenticació. Si un usuari pot imprimir, pot actualitzar el firmware.
 
El vector d'infecció directe (enviament d'un treball d'impressió al port tcp 9100) limita el rang d'atac a les màquines que tinguin accés directe a la impressora. No obstant això, els investigadors han descobert que és possible embeure aquest tipus de treballs d'impressió especials a un document PostScript (i possiblement altres, com Word, encara que no s'ha provat), de tal manera que seria possible infectar una impressora convencent a un usuari perquè imprimeixi un document. La infecció es realitza de forma transparent, ja que el document s'imprimeix, abans d'iniciar el procés d'actualització.
 
La segona vulnerabilitat és un salt de directoris al servidor web embegut en els dispositius multi-funció (HP-ChaiSOE/1.0). La fallada de seguretat permetria a un atacant remot accedir a fitxers sense autorització. Aquesta vulnerabilitat només afecta els models HP LaserJet P3015 amb firmware anterior a 07.080.3, LaserJet 4650 amb firmware 07.006.0, i LaserJet 2430 amb firmware 08.113.0_I35128.
 

Els identificadors CVE assignats a les vulnerabilitats són:
 
• CVE-2011-4161 (actualització remota de firmware)
 
• CVE-2011-4785 (accés a fitxers sense autorització)
 






Referències:
 



Presentació dels investigadors de seguretat en el congrés 28C3
 
http://ids.cs.columbia.edu/sites/default/files/CuiPrintMeIfYouDare.pdf
 
Avís de seguretat de HP (CVE-2011-4161)
 
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03102449
 
Avís de seguretat de HP (CVE-2011-4785)
 
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03140700
 
Configuring Remote Firmware Update on HP Printing Devices (PDF)
 
ftp://sb02728:Secure12@ftp.usa.hp.com/
 
Pràctiques recomanades de seguretat per dispositius d'impressió i escaneig HP.
 
Guia de securització de impressores HP del NIST
 
http://h20000.www2.hp.com/bc/docs/support/SupportManual/c01707469/c01707469.pdf

Publicat a: Avisos
Tags: Seguretat