Une équipe d’experts de F-Secure a trouvé des failles critiques dans un firmware nommé FutureSmart pour plus de 150 modèles d’imprimantes multifonction HP. Les travaux menés portent sur une version du firmware 2 SP1 datant de 2013. Pour Alexander Bolshev et Timo Hirvonen, « de nombreuses entreprises utilisent probablement ces appareils vulnérables. Et pour aggraver les choses, elles ne traitent pas les imprimantes comme des endpoints et oublie les règles d’hygiène de sécurité comme l’installation des mises à jour et la segmentation ».
Dans leurs travaux, les spécialistes ont découvert deux failles critiques. La première est la CVE-2021-39237 qui concerne deux ports de déboggage exposés sur l’imprimante multifonction et qui ne nécessite pas d’authentification. Il faut donc avoir un accès physique au périphérique. En se connectant à ces ports, les attaquants peuvent obtenir un accès shell privilégié aux différents runtime de l’appareil. Parmi ceux-ci, il y a EFI (Extensible Firmware Interface) connu sous le nom BIOS qui gère le processus de démarrage, l’environnement Linux pour le scanner et Windows CE pour la carte centrale qui gère l’interface utilisateur et contient la plupart des programmes pour activer les fonctionnalités de l’imprimante. A travers ces environnements, les cybercriminels peuvent « exfiltrer des informations confidentielles et installer un malware persistant ou fixé sur la mémoire. Il peut être utilisé pour collecter les informations qui transitent par l'appareil et pour s'introduire latéralement dans le réseau de l'entreprise.
Une seconde faille particulièrement dangereuse
La deuxième vulnérabilité, CVE-2021-39238, est jugée plus dangereuse en étant exploitable à distance. Son score de sévérité est de 9,3 au CVSS qui monte jusqu’à 10. Dans le détail, elle consiste en deux bugs de corruption de mémoire dans le code d’analyse des polices de l’imprimante. Des problèmes similaires avaient été trouvé dans Java en 2013 lors du concours de hacking Pwn2Own. Les brèches dans le code d’analyse de police pourraient concerner d’autres constructeurs d’imprimante que HP, mais les chercheurs se sont focalisés sur cette marque. Cette faille peut être exploitée dans un fichier diffusable via plusieurs vecteurs : depuis un lecteur USB, connexion au port LAN directement, à travers le réseau depuis un autre terminal, à partir d’un navigateur en envoyant une requête HTTP POST au port JetDirect 9100/TCP de l'imprimante. Ce dernier cas est jugé le plus sensible, car les attaques sont menées depuis l’extérieur du réseau local.
Reste la question de l’atténuation et de la correction de ces deux failles critiques. Les experts de F-Secure plaident bien évidemment pour une mise à jour régulière des firmwares des imprimantes. Il s’agit d’une étape importante, mais pas suffisante. Ils préconisent une isolation des imprimantes dans leur propre segment de réseau correctement protégé par un pare-feu. Selon eux, les postes de travail ne doivent pas pouvoir communiquer directement avec les imprimantes, mais avec un serveur d’impression dédié servant d’intermédiaire. Ce moyen n’atténuera pas toutes les attaques comme l’envoi de fichiers PDF malveillant, mais cela boquera une exploit via des protocoles comme JetDirect. Parmi les autres conseils, on retrouve la désactivation du port USB et la création de white list pour les adresses IP autorisées.
Commentaire