HP 製プリンタで複数の脆弱性:150 種類のモデルに影響するという

HP Issues Firmware Updates for Printer Product Vulnerabilities

2021/12/01 DarkReading — HP Inc は、同社の多機能プリンタ (MFP: multifunction printer) 製品 150 モデル以上に影響をおよぼす、複数のセキュリティ脆弱性に対応したファームウェア・アップデートを発行した。これらの問題を悪用するのは、特に簡単というわけではない。ただし、2021年4月にバグを発見して HP に報告した F-Secure の研究者たちによると、これらの問題は、攻撃者がデータを盗み、ネットワークへの足掛かりを得る手段となるため、あらゆる組織にとって脅威となるようだ。

また、一般的に、フォレンジック・ツールは、複合機から証拠を復元できないため、この欠陥は危険とも言える。ステルス性を維持したい攻撃者は、この欠陥を悪用して、ほとんど証拠を残さずに済む可能性がある、と F-Secure は述べている。

これらのバグには、2の脆弱性識別子が付けられている。CVE-2021-39237 は、2つの露出した物理ポートに対する単一の識別子であり、CVE-2021-39238 は、2種類のフォント解析の欠陥に対する識別子だ。脆弱性が含まれる HP 製品には、HP LaserJet/HP LaserJet Managed/HP PageWide/HP PageWide Managed の各プリンター・モデルが含まれる。

脆弱性 CVE-2021-39238 は、深刻なバッファ・オーバーフローの問題であり、CVE-2021-39237 は、デバイスに機器に物理的なアクセス権を持つ者のみが悪用できる、深刻度の高い情報漏えいの脆弱性であると、HP は説明している。「物理的な攻撃の可能性を懸念される顧客は、製品のユーザーガイドに記載されている推奨事項に従い、ケンジントン式ロックを使用して、これらの問題やその他の潜在的な物理的攻撃からHP製プリンターを保護する必要がある」と同社は述べている。

HP は、世界最大のプリンター・メーカーの1社である。今年の初めに IDC が発表した推計によると、現時点において HP は、グローバル市場におけるハードコピー周辺機器の 41% を占めている。このカテゴリーには、単機能/多機能プリンターやデジタル複写機が含まれる。

火曜日のブログで F-Secure は、これらの欠陥を悪用する攻撃者が、脆弱な HP 多機能プリンタを制御する可能性や、デバイス上から情報を盗み出す可能性があると述べている。危険にさらされるデータには、脆弱なデバイスを使用して印刷/スキャン/ファックスされた文書が含まれる。また、脆弱なデバイスを他企業ネットワークなどに接続する際に、ユーザー名やパスワードなどのログイン情報が危険にさらされる。さらに、この欠陥を利用して攻撃者は、脆弱なネットワークへの最初の足がかりを得る可能性があると、F-Secure は警告している

同社によると、この欠陥は複数の方法により悪用される。具体的には、USB メモリからの印刷や、ソーシャル・エンジニアリングを利用した印刷、フォント解析の欠陥を突くエクスプロイトの PDF への埋め込み、物理的な LAN ポートに直接接続した印刷などが挙げられる。

今回の脆弱性は、対象となる HP プリンタのフォント・パーサーと通信ボードに存在している。フォント・パーサーの脆弱性は、遠隔操作で悪用される可能性があり、ワーム化することもあり得る。つまり、攻撃者は、企業ネットワーク上の脆弱なプリンターで、自己複製できるマルウェアを作成することが可能になる。その一方で、通信ボードのバグは、デバイスへの物理的なアクセス権を持つ者のみが悪用できる。

F-Secure の調査によると、熟練した攻撃者であれば容易に、これらのバグを利用できる可能性があるとのことだ。たとえば、物理的なポートに関連する脆弱性は5分強で、フォント・パーサーの欠陥は数秒で悪用できるという。しかし、これらの脆弱性は、熟練していない脅威アクターにとっては、見つけるのも悪用するのも簡単ではない。また、脆弱性を悪用するためには、物理的なアクセスが必要なケースがあることも、攻撃者にとっては大きな課題となっている。それでも、重要な分野の大企業や標的型攻撃のリスクを抱える企業は、このバグを現実的な攻撃手段として考え、自衛する必要があると同社は述べている。

対象となる HP 製品を導入している組織のセキュリティ・チームにとっては、プリンター環境における深刻な脅威への対処を迫られることになる。6月〜7月には、Microsoft の Windows Print Spooler サービスに存在する脆弱性への対応を、数多くの企業が急がされた。特に、PrintNightmare と呼ばれる脆弱性は、遠隔操作が可能であり、すべての Windows バージョンに存在し、ドメイン・コントローラを含む重要システムへの、高度な特権的アクセスが攻撃者に奪われるという点で、随所で懸念された。しかし、これらの欠陥は、プリンタ・サービスに存在するとはいえ、OS 自体に存在するものであり、新たにパッチが適用された HP プリンタの欠陥のように、プリンタ自体に存在するものではなかった。

プリンターの脆弱性は、「一般的に、フォレンジック・ツールは、複合機から証拠を復元できないため、この欠陥は危険とも言える」ということで、脅威アクターたちにスティルス性を与えてしまうことが問題のようです。今年は、「Microsoft Windows PrintNightmare 最後の脆弱性 CVE-2021-36958 が FIX」にもあるように、大きな問題が生じて対処されてきましたが、HP の脆弱性 CVE-2021-39237/CVE-2021-39238 に対応するは、ある種の人海戦術が必要になるはずなのでタイヘンです。よろしければ、Print で検索してみてください。いろいろと出てきます。

%d bloggers like this: