Se han descubierto fallas críticas en el firmware FutureSmart de varios cientos de modelos de impresoras HP. Desde 2013, pueden haber sido utilizados con fines maliciosos, pero sobre todo recordemos la importancia de actualizar y aislar estos dispositivos.
Un equipo de expertos de F-Secure ha encontrado fallas críticas en el firmware llamado FutureSmart para más de 150 modelos de impresoras multifunción HP. El trabajo realizado se refiere a una versión del firmware 2 SP1 que data de 2013. Para Alexander Bolshev y Timo Hirvonen, “muchas empresas probablemente estén utilizando estos dispositivos vulnerables. Y para empeorar las cosas, no tratan a las impresoras como puntos finales y se olvidan de las reglas de salud y seguridad como la instalación de actualizaciones y la segmentación ”.
En su trabajo, los especialistas descubrieron dos fallas críticas. El primero es CVE-2021-39237, que se refiere a dos puertos de depuración expuestos en el MFP y que no requiere autenticación. Por lo tanto, debe tener acceso físico al dispositivo. Al conectarse a estos puertos, los atacantes pueden obtener acceso de shell privilegiado a varios tiempos de ejecución del dispositivo. Entre estos se encuentra EFI (Interfaz de firmware extensible) conocida como BIOS que maneja el proceso de arranque, el entorno Linux para el escáner y Windows CE para la placa central que administra la interfaz de usuario y contiene la mayoría de los programas para activar las funciones de la impresora. A través de estos entornos, los ciberdelincuentes pueden «exfiltrar información confidencial e instalar malware persistente o bloqueado en la memoria». Se puede utilizar para recopilar información que pasa a través del dispositivo e ingresar lateralmente a la red corporativa.
Un segundo defecto particularmente peligroso
La segunda vulnerabilidad, CVE-2021-39238, se considera más peligrosa al ser explotable de forma remota. Su puntaje de severidad es 9.3 en el CVSS, que sube a 10. En detalle, consiste en dos errores de corrupción de memoria en el código de análisis de fuentes de la impresora. Se encontraron problemas similares en Java en 2013 durante el concurso de piratería Pwn2Own. Las infracciones en el código de análisis policial podrían afectar a otros fabricantes de impresoras además de HP, pero los investigadores se centraron en esta marca. Esta falla se puede explotar en un archivo que se puede distribuir a través de varios vectores: desde una unidad USB, conexión al puerto LAN directamente, a través de la red desde otro terminal, desde un navegador enviando una solicitud HTTP POST al JetDirect 9100 / puerto. . TCP de la impresora. Este último caso se considera el más sensible, ya que los ataques se llevan a cabo desde fuera de la red local.
Queda la cuestión de mitigar y corregir estos dos defectos críticos. Los expertos de F-Secure obviamente abogan por una actualización regular del firmware de la impresora. Este es un paso importante, pero no suficiente. Abogan por el aislamiento de las impresoras en su propio segmento de red debidamente protegido por un firewall. Según ellos, las estaciones de trabajo no deberían poder comunicarse directamente con las impresoras, sino con un servidor de impresión dedicado que actúa como intermediario. Esto no mitigará todos los ataques como el envío de archivos PDF maliciosos, pero bloqueará un exploit a través de protocolos como JetDirect. Otros consejos incluyen deshabilitar el puerto USB y crear una lista blanca de direcciones IP autorizadas.
