HP har udrullet patches for at lukke sikkerhedshuller på mere end 150 modeller af deres multifunktionsprintere (MFP’er). Indtil for nyligt har cyberkriminelle kunnet udnytte disse sikkerhedshuller til at få kontrol over sårbare enheder, stjæle information og infiltrere virksomheders netværk dybere for at øge omfanget af skaderne. Det beskriver F-Secure-research, der netop er blevet publiceret.

To af F-Secures sikkerhedskonsulenter, Timo Hirvonen og Alexander Bolshev opdagede sårbarheder i fysiske adgangsporte (CVE-2021-39237) og skrifttypeparsing (CVE-2021-39238) i HP’s MFP M725z, som er en del af FutureSmart produktlinjen.

Cyberkriminelle har tidligere kunnet udnytte sikkerhedshullerne i MFP’erne ved at lokke ansatte til at besøge en ondsindet hjemmeside, som blotlægger virksomhedens sårbare MFP’er i et såkaldt cross-site printerangreb. Den ondsindede hjemmeside ville herefter automatisk printe et dokument, der indeholder en inficeret skrifttype, på MFP’en, hvilket ville give hackeren kodningsrettigheder på enheden.

Udstyret med kodningsrettighederne kunne hackeren i al hemmelighed stjæle kritisk data, der passerer gennem MFP’en (eller er cachet i hukommelsen). Det begrænser sig ikke kun til printede eller scannede dokumenter men omfatter også passwords og logininformationer, der kobler enheden på resten af netværket. Hackere kunne dermed bruge kompromitterede MFP’er til yderligere penetration af netværket for f.eks. at sprede ransomware, stjæle eller ændre data.

Desuden opdagede F-Secures sikkerhedskonsulenter, at sikkerhedshullerene i skrifttypeparsingen var modtagelige for orm, hvilket i praksis betyder, at hackere kunne udvikle selvforplantende malware, der automatisk ville kompromittere berørte MFP’er og sprede sig til andre enheder på netværket.

- Man kan nemt glemme, at moderne MFP’er er fuldt funktionelle computere på linje med andre arbejdsstationer og enheder. Det gør det muligt for hackere at udnytte MFP’erne til at skabe en bredere angrebsflade og skade virksomheders it-infrastruktur og drift. Erfarne hackere ser disse ubeskyttede enheder som gode muligheder for at foretage skjulte angreb. Derfor gør virksomheder, der ikke prioriterer at sikre MFP’er på samme niveau som andre enheder, sig ganske sårbare over for angreb, som dem, der er dokumenteret i undersøgelsen, fortæller Timo Hirvonen, Principal Consultant hos F-Secure Consulting.

Sådan sikrer man sine printere
Med en estimeret markedsandel på 40% af markedet for hardwaretilbehør (iflg. https://www.idc.com/promo/hardcopy-peripherals) er HP den førende producent af MFP’er. Derfor er mange virksomheder verden over potentielt sårbare.

Bolshev og Hirvonen kontaktede HP tilbage i foråret 2021, fremlagde deres resultater og arbejdede herefter sammen med HP for at lukke sikkerhedshullerne. HP har nu udsendt firmwareopdateringer og sikkerhedsanbefalinger for de implicerede enheder.

Selvom sværhedsgraden i denne type angreb er meget høj, hvilket gør det vanskeligt for nogle typer hackere, er det stadig vigtigt for virksomheder at udbedre dem.

Ud over patching anbefaler F-Secure følgende sikkerhedstiltag:

• Begræns fysisk adgang til MFP’erne

• Adskil MFP’er med en separat firewallbeskyttet VLAN

• Brug plomberinger, som kan afsløre fysiske ændringer på enhederne

• Brug låse (som f.eks. Kensington-låse) for at kontrollere adgangen til den interne hardware

• Følg producenternes vejledninger for at forhindre uautoriserede modificeringer af sikkerhedsindstillingerne

• Placer MFP’er i et videoovervåget område, så det er muligt at optage fysiske ændringer eller hackerangreb i gerningsøjeblikket

- Virksomheder og organisationer, der arbejder i samfundskritiske sektorer, som er i risiko for at blive ofre for et veludført angreb af ressourcestærke hackere, bør tage det her meget alvorligt. Der er ikke grund til panik, men man bør klart gennemgå sin grad af eksponering, så man kan være forberedt på denne type angreb. Selvom angrebene er avancerede, kan man imødekomme dem med basale sikkerhedstiltag såsom segmentering af netværket, patch management og sikkerhedsopgraderinger, slutter Timo Hirvonen.