社区编辑申请
注册/登录
存在八年的HP打印机漏洞影响150种打印机
安全
虽然这两个漏洞已经存在8年了,但F-Secure报告中指出目前没有任何迹象表明有攻击者利用了这两个漏洞。HP也已于2021年11月1日以固件更新的方式修复了这两个安全漏洞。

F-Secure研究人员在HP公司的打印机中发现2个安全漏洞,影响超过150种打印机。

漏洞概述

2021年4月29日,F-Secure labs安全研究人员在HP公司的打印机中发现2个安全漏洞——Printing Shellz,漏洞CVE编号为CVE-2021-39237和CVE-2021-39238,影响超过150种不同型号的HP打印机。攻击者利用这两个漏洞可以控制受影响的打印机设备、窃取敏感信息、入侵企业网络来发起其他攻击。

CVE-2021-39237漏洞,CVSS评分7.1分,是一个信息泄露漏洞,影响HP LaserJet、HP LaserJet Managed、HP PageWide和HP PageWide Managed打印机。该漏洞会暴露2个物理端口,使得攻击者可以完全访问打印机设备,攻击者利用该漏洞可以实现信息窃取。

CVE-2021-39238漏洞,CVSS评分9.3分,是一个缓冲区溢出漏洞,影响HP Enterprise LaserJet、HP LaserJet Managed、HP Enterprise PageWide和HP PageWide Managed打印机。该漏洞还是一个蠕虫漏洞,攻击者利用该漏洞可以在实现远程代码执行的基础上,从一个打印机向整个网络传播。

HP M725z案例分析

F-Secure研究人员用在测试HP M725z MFP打印机时发现的以上2个安全漏洞。在将漏洞报告给HP之后,HP发现还有许多型号的打印机也受到这两个漏洞的影响。

利用这两个漏洞的方式有很多,比如:

从USB设备打印:在当前主流的固件版本中,从USB设备打印默认是禁用的。

利用社会工程学方法使用户打印恶意文档,比如,攻击者可以在pdf文件中嵌入一个字体分析漏洞利用。

连接到物理LAN端口来打印。

从攻击者控制的另一个设备打印信息。

跨站打印:发送HTTP POST到JetDirect端口9100/TCP来直接从浏览器发送漏洞利用到打印机。

通过暴露的UART端口发起直接攻击,适用于攻击者可以物理访问打印机设备的情况。

CVE-2021-38238漏洞攻击流

要利用CVE-2021-39238漏洞,只需要几秒钟,而利用CVE-2021-39237漏洞也只需要5分钟。

虽然这两个漏洞已经存在8年了,但F-Secure报告中指出目前没有任何迹象表明有攻击者利用了这两个漏洞。HP也已于2021年11月1日以固件更新的方式修复了这两个安全漏洞。

修复方法

除了升级固件外,管理员还可以通过以下方式降低这两个漏洞带来的潜在风险:

禁止从USB打印;

将打印机网络设置为防火墙后的单个VLAN中;

只允许指定的IP地址列表访问打印机;

更多详见完整报告:https://labs.f-secure.com/assets/BlogFiles/Printing-Shellz.pdf

漏洞PoC利用demo视频参见:https://player.vimeo.com/video/651284927

本文翻译自:https://www.bleepingcomputer.com/news/security/8-year-old-hp-printer-vulnerability-affects-150-printer-models/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2021-12-01 10:20:18

2022-06-20 13:34:46

漏洞网络攻击

2022-06-15 09:01:41

2022-06-20 14:57:50

漏洞安全威胁

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-29 09:19:09

静态代码C语言c代码

2009-09-24 11:22:50

打印服务器

2022-06-17 11:24:52

2021-12-02 05:35:03

2022-06-09 18:04:46

网络攻击网络安全

2022-06-15 14:40:54

英特尔漏洞

2022-06-30 09:07:52

2022-06-28 12:14:02

DockerLinux

2022-06-27 17:46:53

PythonFlask

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-06 14:32:36

2022-06-17 09:47:04

Linux命令

2022-06-28 10:58:35

勒索软件攻击事件

2022-06-06 11:21:22

网络安全工具禁令

2022-06-25 21:22:30

编程Rust代码

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号