Cuidado con tus impresoras HP. Son hackeables.
La consultora de seguridad con sede en Finlandia F-Secure anunció el martes el descubrimiento de vulnerabilidades que afectan a más de 150 productos de impresoras multifunción (MFP) HP diferentes. Desde entonces, HP ha publicado parches para estas vulnerabilidades, esencialmente mejorando la seguridad de una parte significativa de sus unidades MFP.
Aún así, ahora podría ser un buen momento para que las empresas y los consumidores reevalúen la seguridad de sus impresoras existentes y consideren acciones para evitar las consecuencias de la piratería. Para aquellos que necesitan nuevas impresoras, la temporada de compras navideñas puede ofrecer algunas buenas ofertas de precios.
Teniendo en cuenta el estado de HP como proveedor líder de dispositivos multifunción, con un 40 por ciento estimado del mercado de periféricos de hardware, es probable que muchas empresas de todo el mundo utilicen dispositivos vulnerables, según el informe de F-Secure.
Los atacantes pueden explotar las vulnerabilidades para tomar el control de los dispositivos, robar información e infiltrarse aún más en las redes para infligir otros tipos de daños, según la investigación de F-Secure.
Los consultores de seguridad de F-Secure, Timo Hirvonen y Alexander Bolshev, descubrieron vulnerabilidades de puerto de acceso físico expuestas (CVE-2021-39237) y vulnerabilidades de análisis de fuentes (CVE-2021-39238) en la MFP M725z de HP, parte de la línea de impresoras FutureSmart de HP. Los avisos de seguridad publicados por HP enumeran más de 150 productos diferentes afectados por las vulnerabilidades.
“Es fácil olvidar que las impresoras multifunción modernas son computadoras completamente funcionales que los atacantes pueden comprometer al igual que otras estaciones de trabajo y terminales. Y al igual que otros puntos finales, los atacantes pueden aprovechar un dispositivo comprometido para dañar la infraestructura y las operaciones de una organización”, según Hirvonen.
Los actores de amenazas experimentados ven los dispositivos no seguros como oportunidades. Por lo tanto, las organizaciones que no dan prioridad a la seguridad de sus dispositivos multifunción como otros puntos finales quedan expuestas a ataques como los documentados en nuestra investigación, explicó.
Tabla de Contenidos
La investigación académica llevó al descubrimiento
Inicialmente, el desarrollo profesional motivó la investigación sobre la piratería de impresoras, según Hirvonem. Los dos consultores de seguridad de F-Secure querían trabajar juntos en un proyecto de piratería de hardware para obtener más información al respecto.
Si bien HP hizo un buen trabajo asegurando la impresora multifunción de alguna manera, Bolshev solo tardó unas pocas horas en encontrar los dos puertos físicos expuestos que otorgan acceso total al dispositivo. La investigación se amplió para poner mayor énfasis en el sigilo para desarrollar nuevas herramientas y conocimientos para su uso en equipos rojos y actividades similares, anotó.
“Estas vulnerabilidades afectan solo a las impresoras HP y los modelos enumerados en los boletines de seguridad de HP”, dijo Bolshev a TechNewsWorld.
Análisis del vector de ataque
El método de ataque más efectivo consiste en engañar a un usuario de una organización objetivo para que visite un sitio web malicioso. Eso expone la MFP vulnerable de la organización a lo que se conoce como un ataque de impresión entre sitios.
El sitio web imprimiría de forma automática y remota un documento que contiene una fuente creada con fines malintencionados en la MFP vulnerable. Esto, a su vez, otorgaría al atacante derechos de ejecución de código en el dispositivo.
Un atacante con estos derechos de ejecución de código podría robar silenciosamente cualquier información ejecutada o almacenada en caché a través de la impresora multifunción. Esto incluye documentos impresos, escaneados o enviados por fax. Pero también afecta información como contraseñas y credenciales de inicio de sesión que conectan el dispositivo con el resto de la red.
Los atacantes también podrían utilizar las impresoras multifunción comprometidas como cabeza de puente para penetrar más en la red de una organización en busca de otros objetivos. Estos podrían incluir robar o cambiar otros datos o difundir ransomware.
Los investigadores determinaron que es difícil explotar las vulnerabilidades para evitar que muchos atacantes poco calificados las usen. Pero los actores de amenazas experimentados podrían utilizarlos en operaciones más específicas, según el informe de F-Secure.
Los investigadores descubrieron que las vulnerabilidades de análisis de fuentes son compatibles con gusanos. Esto significa que los atacantes podrían crear malware que se propague automáticamente y comprometa automáticamente las impresoras multifunción afectadas. Luego, el compromiso se propaga a otras unidades vulnerables en la misma red.
Consejos para asegurar las impresoras multifunción
Hirvonen y Bolshev contactaron a HP la primavera pasada con sus hallazgos y trabajaron con la compañía para reparar las vulnerabilidades. HP ahora ha publicado actualizaciones de firmware y avisos de seguridad para los dispositivos afectados.
Si bien la dificultad del ataque lo hace poco práctico para algunos actores de amenazas, los investigadores dicen que es importante para las organizaciones que son blanco de ataques avanzados asegurar sus MFP vulnerables.
Además de la aplicación de parches, las medidas para proteger las impresoras multifunción incluyen:
- Limitación del acceso físico a las impresoras multifunción
- Segregación de impresoras multifunción en una VLAN separada con firewall
- Uso de adhesivos antimanipulación para señalar la manipulación física de los dispositivos
- Seguir las mejores prácticas de los proveedores para evitar modificaciones no autorizadas en la configuración de seguridad
- Colocar dispositivos multifunción en áreas monitoreadas por circuito cerrado de televisión para registrar cualquier uso físico de dispositivos pirateados en el momento en que se comprometió
“Las grandes empresas, las empresas que trabajan en sectores críticos y otras organizaciones que enfrentan atacantes altamente calificados y con buenos recursos deben tomar esto en serio. No hay necesidad de entrar en pánico, pero deben evaluar su exposición para estar preparados para estos ataques”, dijo Hirvonen.
“El ataque es avanzado, pero se puede mitigar con lo básico: segmentación de la red, gestión de parches y refuerzo de la seguridad”, señaló.
Un informe técnico detallado de la investigación está disponible en F-Secure Labs.
Aplicación de parches no automática
HP no emite actualizaciones de firmware por aire. Por lo tanto, es recomendable garantizar las actualizaciones del firmware de la impresora para evitar cualquier intento real de piratería en la naturaleza.
“No tenemos evidencia ni informes de actores de amenazas que exploten estas vulnerabilidades en ataques”, advirtió Bolshev.
Los consumidores y los trabajadores de TI deben asegurarse manualmente de que su hardware de HP esté parcheado. Deben descargar y aplicar los parches de HP manualmente, dijo.
Otra opción, añadió, es utilizar HP Web Jetadmin para actualizar el firmware de forma remota para varias impresoras a la vez.
Más vale prevenir que lamentar
Un atacante habilidoso podría explotar con éxito los puertos físicos en poco más de cinco minutos, según Bolshev. Ejecutar el ataque que explota el analizador de fuentes solo tomaría unos segundos.
“Sin embargo, estas no son frutas al alcance de la mano que serían obvias para muchos actores de amenazas. El problema del análisis de fuentes no es el más fácil de encontrar o explotar. Y cualquier cosa que requiera acceso físico plantea barreras logísticas para que los actores de amenazas las superen”, aclaró.
Las vulnerabilidades se remontan al menos a 2013 y afectan a más de 150 modelos de impresoras HP. Es probable que muchas empresas utilicen impresoras multifunción vulnerables.
“Sin embargo, debido a que el exploit requiere un atacante razonablemente hábil, las organizaciones más pequeñas no deben entrar en pánico. Pero las organizaciones más grandes que se enfrentan a actores de amenazas con buenos recursos/altamente calificados y/u organizaciones involucradas en sectores críticos deberían considerar esto como un vector de ataque realista”, concluyó Bolshev.