Ben 150 modelli di stampanti multifunzione HP sono state scoperte vulnerabili ed esposte a possibili attacchi hacker. Se non opportunamente aggiornate possono consentire di infiltrarsi nelle reti aziendali. Vediamo anche come installare la patch che risolve il problema
Sono state di recente scoperte due vulnerabilità cybersecurity in diversi modelli di stampanti HP, di cui alcuni risalenti addirittura al 2013.
Queste falle, essendo risalenti a diversi anni addietro, hanno potenzialmente esposto un numero elevatissimo di utenti ad attacchi da parte di cybercriminali per assumere il controllo delle periferiche e sfruttarle come veicolo per introdursi all’interno delle reti aziendali e perpetrare attacchi più profondi e dannosi.
In breve quali sono queste vulnerabilità nelle multifunzione HP
Le due vulnerabilità, rinominate Printing Shellz dai ricercatori Timo Hirvonen e Alexander Bolshev che le hanno scoperte, hanno costretto la stessa HP a correre ai ripari rilasciando due patch specifiche.
Sicurezza stampanti HP | le patch
- CVE-2021-39237 (punteggio CVSS: 7.1): vulnerabilità stampanti hp riguardante la divulgazione di informazioni per alcuni modelli HP LaserJet, HP LaserJet Managed, HP PageWide e HP PageWide Managed;
- CVE-2021-39238 (punteggio CVSS: 9.3): vulnerabilità stampanti hp di overflow del buffer che riguarda alcuni prodotti HP Enterprise LaserJet, HP LaserJet Managed, HP Enterprise PageWide e HP PageWide Managed.
Gli stessi ricercatori dichiarano nel loro rapporto che:
“un utente malintenzionato potrebbe sfruttare i due difetti per ottenere i diritti di esecuzione del codice, con il primo che richiede l’accesso fisico mentre il secondo può essere eseguito in remoto. Un eventuale sfruttamento positivo delle vulnerabilità consentirà a un hacker di raggiungere vari obiettivi, tra cui il furto di informazioni o l’utilizzo della macchina compromessa come testa di ponte per futuri attacchi contro un’organizzazione”.
La particolare gravità riferita alla patch CVE-2021-39238, è che la vulnerabilità è wormable, ovvero potrebbe essere sfruttata per infiltrarsi automaticamente in altre periferiche MFP connesse alla stessa rete.
Lo scenario di attacco
In un ipotetico attacco, è sufficiente che un qualsiasi utente della rete che ha accesso alla stampante clicchi, es. tramite un prima fase di attacco “phishing”, su un link che porti ad un apparentemente innocuo sito web, creato appositamente allo scopo di finalizzare un attacco di tipo cross-site-printing.
Lo stesso sito produrrebbe automaticamente da remoto un documento contenente un font dannoso che fornirebbe all’attaccante le credenziali per eseguire il malware sulla stampante presa di mira.
L’hacker sarebbe così in grado di accedere a tutti i documenti stampati o scannerizzati e, peggio ancora, di entrare in possesso delle credenziali di accesso alla rete locale permettendogli di propagarsi a tutta la rete aziendale e quindi a tutti i dispositivi connessi tra cui PC e SERVER.
Come difendersi dal rischio Printing Shellz
Una delle misure più efficaci per proteggersi da questo tipo di vulnerabilità Printing Shellz, è sicuramente la segmentazione della rete in più livelli di reti e sottoreti ovviamente protette da un sistema di credenziali stabilite in funzione delle policy di accesso degli utenti.
Un’altra misura efficace può essere quella di disabilitare la porta USB che permette la stampa dalle classiche chiavette.
Ovviamente è poi fondamentale accertarsi che, sia le stampanti HP installate che quelle che vengono fornite abbiamo installate le patch ufficiali disponibili nel sito HP e siano allineate con tutti gli aggiornamenti di sicurezza rilasciati dal produttore stesso.
Ulteriori misure utili
Una volta installate patch e aggiornamenti si consiglia anche di:
- Collegare i dispositivi end-point alle stampanti tramite un server di stampa opportunamente configurato;
- Configurare le stampanti in VLAN separate adeguatamente protette da sistemi firewall;
- Configurare opportunamente gli indirizzi di uscita per la stampante in modo tale che siano ben identificati in un elenco protetto;
- Inserire anche le stampanti fra gli asset da tenere monitorati se si dispone di sistemi XDR di monitoraggio stampanti e alert.
Queste misure, indipendentemente dal fatto che siano installate o meno le patch e gli aggiornamenti di sicurezza, consentono già a priori di limitare molto il rischio di intrusione, come peraltro avevamo già sottolineato in uno dei nostri primi articoli dedicato al tema della sicurezza stampanti dove, uno dei concetti chiave che più ci premeva sottolineare, era proprio quello di non sottovalutare il proprio parco printing come possibile veicolo di attacchi bensì, di inserirlo a pieno titolo nella propria strategia cybersecurity aziendale.
