A 16-year-old bug (CVE-2021-3438) in printer driver affects millions of printers worldwide
2021/07/20 SecurityAffairs — SentinelOne の研究者たちが、HP / Xerox / Samsung のプリンタ・ドライバに存在する、16年前からの脆弱性を発見した。数か月前に専門家たちが、新しい HP プリンターをコンフィグレーションする際に、2005年の SSPORT.SYS という古いプリンター・ドライバーが、ProcessHacker によるアラートを引き起こしていることに気づき、この発見へとつながった。
SentinelOne は、「このことがきっかけとなり、HP / Xerox / Samsung のプリンタ・ドライバ・ソフトウェアに、16年も未公開だった深刻度の高い脆弱性が発見された。この脆弱性は、HP と Samsung の 380種類以上のプリンタと、Xerox の少なくとも 10数種類の製品に影響する」と分析している。この脆弱性 CVE-2021-3438 は、一部のプリンタ・モデルで使用されているSSPORT.SYS ドライバに存在し、バッファ・オーバーフローを引き起こす。
このプリンタ・ソフトウェアをインストールすると、インストールをキャンセルした場合であっても、ドライバはマシンにインストールされ、また、有効になってしまう。基本的なユーザー権限を持つ攻撃者は、その権限を SYSTEM に昇格させ。カーネル・モードでコードを実行することが可能であり、また、悪意のコードはセキュリティ製品の検出を回避することが可能だ。
SentinelOne は、「このドライバーの脆弱性の悪用が成功すると、と、攻撃者はプログラムのインストールや、データの閲覧/変更/暗号化/削除、そして完全なユーザー権限を持つ新しいアカウントの作成などを可能にするかもしれない。ただし、この脆弱性を単独で武器にする方法が見つからないため、他のバグを連鎖させる必要があるかもしれない」と述べている。このレポートを発表した時点では、発見された脆弱性の悪用事例は確認されていないが、脅威アクターたちに利用される可能性は否定できない。
HP は、影響を受けるプリンタモデルのリストを含む、セキュリティ・アドバイザリ HPSBPI03724 を公開している。また、Xerox は、セキュリティ・アドバイザリ・ミニブレティン XRX21K を公開し、顧客による対応を促している。SentinelOne は、「これまでのところ、この脆弱性の悪用という兆候は見られないが、現時点において数百万台のプリンタが脆弱な状態にあり、適切な対策を講じていないものを、攻撃者が探し出すことは避けられないだろう」と結論付けている。
以下は、この脆弱性の公開スケジュールである。
2021年2月18日 – 最初の報告。
2021年2月23日 – HP が Samsung と Xerox に通知。
2021年5月19日 – HP が CVE-2021-3438 に関するアドバイザリをリリース。
2021年05月20日 – HP が追加情報を提供。
2021年06月01日 – HP が影響を受ける製品のリストを更新。
16年前の脆弱性が、こんなかたちで見つかることもあるのですね。手元の資料を調べてみたら、6月8日付けのレポートに、HP LaserJet (laser printer) におけるメモリ破壊の脆弱性という情報が見つかりました。文中にもあるように、この脆弱性を単独で用いても、攻撃が成功することはなさそうですが、脅威アクターたちの1枚のカードになることは間違えなさそうです。さまざまな企業や組織で、大量に使われているプリンターのはずなので、ちょっと心配ですね。
IoT OT Security News 