Una vulnerabilità critica esporrebbe milioni di stampanti HP OfficeJet ad attacchi, questo è l’avvertimento degli esperti di Check Point.
Secondo i ricercatori dell’azienda di sicurezza, gli attaccanti devono solo inviare un fax alle stampanti multifunzione e una volta compromesse è possibile utilizzarle come punto di ingresso nella rete che le ospita.
I ricercatori hanno scoperto due vulnerabilità critiche nell’implementazione di un protocollo fax ampiamente utilizzato ed implementato in tutte le stampanti multifunzione HP OfficeJet a getto di inchiostro.
Le vulnerabilità riguardano le stampanti HP all-in-one che supportano i protocolli fax del Gruppo 3 (G3) che fanno parte dello standard ITU T.30 per l’invio e la ricezione di fax a colori.
Gli esperti hanno segnalato le falle ad HP e le hanno illustrate e nel corso della conferenza di hacking DEF CON.
I ricercatori hanno messo a punto una nuova tecnica di attacco soprannominata Faxploit, ed hanno dimostrato come sia possibile sfruttare le falle per fare breccia in una rete che ospita le stampanti vulnerabili e da lì muoversi lateralmente sfruttando il popolare exploit EternalBlue.
“Il diagramma seguente mostra lo schema di attacco di Faxploit , utilizzando il quale un attaccante potrebbe spostarsi lateralmente nella rete per accedere alle informazioni riservate della tua organizzazione”. dice il post sul blog pubblicato da CheckPoint Security.
“L’elemento cruciale da notare è che mentre la maggior parte degli attacchi alle reti delle organizzazioni oggi avviane attraverso una connessione Internet, utilizzando questa vulnerabilità nel protocollo fax anche una rete completamente isolata risulterebbe vulnerabile. Ciò è dovuto al fatto che l’attacco sfrutta un canale alternativo fino ad ora considerato sicuro come il fax e che non richiedeva l’applicazione di livelli di protezione”.
Di seguito un video dimostrativo dell’attacco Faxploit:
Sfruttando la tecnica è possibile eseguire condurre diversi attacchi, come rubare documenti o manomettere il contenuto del fax sostituendo i documenti ricevuti con versioni modificate.
Le fasi dell’attacco
La falle nell’implementazione del protocollo fax potrebbero essere sfruttate dagli aggressori durante la fase di “handshake” ovvero in quella fase in cui trasmittente e ricevente si accordano sulla modalità di trasmissione.
“Siamo in grado di sfruttare questa vulnerabilità inviando un enorme file XML (con dimensione maggiore di 2 GB) alla stampante attraverso la porta TCP 53048 e causando l’overflow del buffer. Sfruttando questa vulnerabilità è possibile ottenere il pieno controllo della stampante multifunzione, il che significa che potremmo usare questa vulnerabilità come entry point nella rete obiettivo” hanno spiegato i ricercatori.
Gli esperti hanno spiegato che quando si invia un fax alla stampante OfficeJet viene utilizzato il formato immagine TIFF. Il fax del mittente trasmette anche dei metadati per impostare i parametri di trasmissione come le dimensioni della pagina. Secondo lo standard ITU T.30, il fax di destinazione dovrà analizzare i metadati per la gestione della comunicazione, ma i ricercatori hanno scoperto che inviando un fax a colori, le stampanti trasmittente/ricevente utilizzavano il formato immagine .JPG in luogo del .TIFF.
Quando la stampante di destinazione riceve un fax colorato, semplicemente scarica il suo contenuto in un file .jpg (“% s / jfxp_temp% d_% d.jpg “per la precisione), senza effettuare alcun controllo sui metadati inclusi che possono essere quindi usati come vettore dell’attacco.
Le stampanti vulnerabili HP OfficeJet utilizzavano un parser JPEG personalizzato per analizzare i dati del fax, invece di usare libjpeg.
Gli esperti di Checkpoint hanno esaminato il parser ed hanno scoperto due vulnerabilità di buffer overflow.
HP corre ai ripari con un patch di sicurezza
HP ha già rilasciato patch di sicurezza per entrambe le vulnerabilità tracciate come CVE-2018-5925 e CVE-2018-5924.
“Sono state identificate due vulnerabilità di sicurezza in alcune stampanti HP Inkjet. Un file malevolo inviato a un dispositivo vulnerabile può causare una condizione di buffer overflow che potrebbe consentire l’esecuzione di codice arbitrario in remota. ” recita l’avviso sulla sicurezza pubblicato da HP.
