محققان امنیتی در firmware مدلهای مختلف پرینترهای HP یک آسیبپذیری بالقوه و خطرناک را کشف کردند که میتواند توسط مهاجمان مورد سوءاستفاده قرارگرفته تا کد یک دلخواه را از راه دور و بر روی مدلهای پرینتر آلودهشده اجرا کنند.
این آسیبپذیری که CVE-2017-2750 نامگذاری شده است، بهعنوان یک آسیبپذیری با شدت بالا تشخیص داده شده است که نمره ۸٫۱ را در مقیاس CVSS به خود اختصاص داده است. این آسیبپذیری بهاینعلت به وجود آمده است که بخشهای تأیید اعتبارِ DLL بهاندازه کافی نیست و این آسیبپذیری اجازه داده است تا کد دلخواه موردنظر از راه دور و بر روی ۵۴ مدل از پرینترهای شرکت HP اجرا شود.
این نقص امنیتی بر روی ۵۴ مدل از پرینترهای شرکت HP قرار دارد که شامل پرینترهای LaserJet Enterprise, LaserJet Managed, PageWide Enterprise و OfficeJet Enterpriseمیشوند.
این آسیبپذیری اجرای کد از راه دور توسط محققان در شرکت FoxGlove Security کشف شده است و درحالیکه آنها در حال بررسی امنیت پرینترهای HP مدل MFP-586 و HP LaserJet Enterprise M553 بودند که در حال حاضر به ترتیب با قیمتهای ۲۰۰۰ و ۵۰۰ دلار در بازار فروخته میشوند.
بر اساس یک گزارش فنی که در روز دوشنبه ۲۰ نوامبر ۲۰۱۷ و توسط FoxGlove منتشر شده است[۱]، محققان با استفاده از مهندسی معکوسِ فایلهای با فرمت BDL که بر روی firmware و Solution هر دو مدل این پرینترها قرار داشتند، کد دلخواه خود را اجرا کردند.
محققان دراینباره گفتند: “این (.BDL) یک فرمت باینری اختصاصی است که هیچ مستنداتی در مورد آن در دسترس نیست. ما تصمیم گرفتیم که این فرمت فایل را مهندسی معکوس کنیم، زیرا این امر به ما اجازه میدهد تا دقیقاً متوجه شویم که بهروزرسانیهای firmware و راهحلهای نرمافزاری از چه اجزایی تشکیل شدهاند.”
ازآنجاییکه HP مکانیزم تأیید امضا را برای جلوگیری از دستکاری در سیستم پیادهسازی کرده است، محققان موفق به بارگذاری یک firmware مخرب به پرینترهای آسیبپذیر نشدهاند.
بااینحال، پس از یک سری آزمایشها، بعضی از محققان گفتند: “این امر میتواند امکانپذیر باشد که اعداد خواندهشده در int32_2 و int32_3 را دستکاری کنیم بهطوریکه بخشی از فایل DLL که امضای آن تأیید شده است از بخشی که کد قابل اجرای واقعی در آن قرار دارد و میخواهد بر روی پرینتر اجرا شود، جدا شود.”
محققان توانستند مکانیزم اعتبارسنجی امضاء دیجیتال را برای بسته نرمافزاری HP به نام Solution دور زده و بهطوری مدیریت کنند تا payload مخربِ DLL را اضافه کرده و کد دلخواه خود را اجرا کنند.
شرکت FoxGlove Security منبع کدی که در حین تحقیقات مورداستفاده قرار داده است را به همراه payload اثبات ادعای این بدافزار بر روی GitHub قرار داده که میتواند از راه دور بر روی پرینترها نصب شود[۲].
این عملیات توسط اثبات ادعای مطرحشده توسط آنها بدینصورت اجرا میشود:
- یک فایل را از آدرس http[://]nationalinsuranceprograms[.]com/blar دانلود میکند.
- دستورات قرار داشته بر روی فایل را بر روی پرینتر موردنظر اجرا میکند.
- ۵ ثانیه صبر میکند.
- این عمل را تکرار میکند.
شرکت FoxGlove Security این آسیبپذیری اجرای کد از راه دور را در ماه اوت سال ۲۰۱۷ به شرکت HP گزارش داده است و این شرکت این مشکل را با انتشار بهروزرسانیهای جدید برای firmwareهای آسیبپذیر برطرف کرده است.
بهمنظور دانلود بهروزرسانی firmware جدید، از وبسایت HP در مرورگر خود بازدید کرده و بخش پشتیبانی را از بالای صفحه انتخاب کنید و به بخش نرمافزار و درایور بروید. در این قسمت، نام محصول یا شماره مدل دستگاه خود را در کادر جستجو وارد کنید، سپس در نتایج جستجو به بخش firmware رفته و فایلهای لازم را دانلود کنید[۳].
منابع
[۱]https://foxglovesecurity.com/2017/11/20/a-sheep-in-wolfs-clothing-finding-rce-in-hps-printer-fleet
[۲] https://github.com/foxglovesec/HPwn
[۳] https://support.hp.com/nz-en/document/c05839270
[۴] https://thehackernews.com/2017/11/hp-printer-hacking.html
ثبت ديدگاه