0
0
Mais de 150 impressoras multifuncionais HP (MFPs) estão abertas a ataques por meio de duas vulnerabilidades de porta de acesso físico expostas (CVE-2021-39237) e duas vulnerabilidades de análise de fontes diferentes (CVE-2021-39238) descobertas pelos consultores de segurança da F-Secure Timo Hirvonen e Alexander Bolshev.
Os atacantes podem explorar as vulnerabilidades para assumir o controle de dispositivos vulneráveis, roubar informações e se infiltrar ainda mais em redes para infligir outros tipos de danos, mas a boa notícia é que, no início deste mês, a HP emitiu atualizações de firmware que corrigem as vulnerabilidades.
Sobre as vulnerabilidades (CVE-2021-39237, CVE-2021-39238)
“As falhas estão no quadro de comunicações e no analisador de fontes da unidade. Um invasor pode explorá-los para obter direitos de execução de código, com o primeiro exigindo acesso físico, enquanto o último pode ser realizado remotamente”, explicaram os pesquisadores.
O método de ataque mais eficaz envolveria enganar um usuário de uma organização direcionada para visitar um site malicioso, expondo a multifuncional vulnerável da organização ao que é conhecido como ataque de impressão entre sites. O site imprimiria, automaticamente, remotamente um documento contendo uma fonte maliciosamente trabalhada na multifuncional vulnerável, dando ao invasor direitos de execução de código no dispositivo.
Um invasor com esses direitos de execução de código poderia roubar silenciosamente qualquer informação executada (ou armazenada em cache) através da multifuncional. Isso inclui não apenas documentos impressos, digitalizados ou enviados por fax, mas também informações como senhas e credenciais de login que conectam o dispositivo ao resto da rede.
Os atacantes também podem usar multifuncionais comprometidas como cabeça de praia para penetrar ainda mais na rede de uma organização em busca de outros objetivos (como roubar ou alterar outros dados, espalhar ransomware, etc.)
Enquanto os pesquisadores determinaram que explorar as vulnerabilidades é difícil o suficiente para impedir que muitos atacantes pouco qualificados as usem, atores experientes de ameaças poderiam usá-las em operações mais direcionadas.
Além disso, os pesquisadores descobriram que as vulnerabilidades de análise de fontes são vermes, o que significa que os invasores podem criar malware autopropagador que compromete automaticamente as multifuncionais afetadas e depois se espalha para outras unidades vulneráveis na mesma rede.
“É fácil esquecer que as multifuncionais modernas são computadores totalmente funcionais que os atores de ameaças podem comprometer, assim como outras estações de trabalho e terminais. E assim como outros endpoints, os atacantes podem alavancar um dispositivo comprometido para danificar a infraestrutura e as operações de uma organização. Atores experientes de ameaças veem dispositivos não seguros como oportunidades, para que as organizações que não priorizam proteger suas multifuncionais como outros endpoints se deixem expostas a ataques como os documentados em nossa pesquisa”, explicou Hirvonen.
Conselhos para garantir multifuncionais
Hirvonen e Bolshev entraram em contato com a HP na primavera passada com suas descobertas e trabalharam com eles para ajudar a corrigir as vulnerabilidades.
Considerando o status da HP como fornecedora líder de multifuncionais, muitas empresas em todo o mundo provavelmente estão usando dispositivos vulneráveis.
Embora a dificuldade do ataque o torne impraticável para alguns atores de ameaças, os pesquisadores dizem que é importante que as organizações alvo de ataques avançados protejam suas multifuncionais vulneráveis.
Além do patching, as medidas para garantir as multifuncionais incluem:
- Limitando o acesso físico às multifuncionais
- Segregando multifuncionais em uma VLAN separada e protegida por firewall
- Usando adesivos anti-adulteração para sinalizar adulteração física de dispositivos
- Seguindo as melhores práticas dos fornecedores para evitar modificações não autorizadas nas configurações de segurança
- Colocando multifuncionais em áreas monitoradas por CCTV para registrar qualquer uso físico de dispositivos hackeados no momento em que foi comprometido.
“Grandes empresas, empresas que trabalham em setores críticos e outras organizações que enfrentam atacantes altamente qualificados e com bons recursos precisam levar isso a sério. Não há necessidade de entrar em pânico, mas eles devem avaliar sua exposição, para que estejam preparados para esses ataques. Embora o ataque seja avançado, ele pode ser mitigado com o básico: segmentação de rede, gerenciamento de patches e endurecimento de segurança”, disse Hirvonen.
Embora não haja indicação de que os atores de ameaças estejam explorando ativamente essas vulnerabilidades, os defensores podem detectar um ataque monitorando o tráfego da rede e fazendo análise de log, disseram os consultores.
“Não há muitas ferramentas forenses capazes de recuperar evidências de multifuncionais e dispositivos similares, então os atacantes que exploram com sucesso essas falhas deixarão muito pouca evidência para trás. É uma boa opção para adversários que precisam de furtividade.”
FONTE: HELPNET SECURITY