Honderden HP-printers hebben gapend beveiligingsgat

HP waarschuwt klanten voor een beveiligingsgat in een groot aantal printers en multifunctionals (mfp's). Kwaadwillenden kunnen via het gat op afstand eigen code uitvoeren. Voor het dichten van dit RCE-gat (remote code execution) biedt de fabrikant fimwarefixes, maar niet voor alle getroffen apparaten. Netwerkbeheerders moeten van HP aan de slag om kwetsbare printers te beschermen.

Jasper BakkerredacteurMeer van deze auteur

Het gaat om een kwetsbaarheid die in november vorig jaar is ontdekt en gebruikt tijdens de hackwedstrijd Pwn2Own in Austin (Texas). De Taiwanese security-onderzoeker Angelboy (@scwuaptx) heeft toen onder meer HP-printers en -mfp's op de korrel genomen en weten te hacken. Het Devcore-team waar hij deel van uitmaakt, heeft op Pwn2Own 2021 voor de HP-printerhack 20.000 dollar gewonnen. Ook Canon- en Lexmark-printers, Sonos-speakers en WD-NAS-apparaten zijn met succes gehackt door het team met Angelboy.

Van enterprise tot thuiskantoor

HP weet nu te melden dat bepaalde producten voor printen en het digitaal versturen van documenten een potentiële RCE en buffer overflow hebben. Het gaat om honderden verschillende apparaten voor zowel de grootzakelijke markt als het MKB en consumenten. De lijst met kwetsbare printers en mfp's loopt dan ook uiteen van modellen in de Color LaserJet Enterprise-reeks en de Color LaserJet Managed MFP-serie, via de LaserJet Pro-reeks en PageWide Pro-printers, tot de DeskJet- en OfficeJet-printers en all-in-ones. Ook grootformaatprinters, in de DesignJet- en PageWide XL-productreeksen, zijn geraakt.

Al deze apparaten zijn mogelijk kwetsbaar, door hun gebruik van Link-Local Multicast Name Resolution (LLMNR). Om dit beveiligingsprobleem te verhelpen, brengt de fabrikant bijgewerkte firmware-versies uit, die klanten dan moeten installeren. Niet alle printerbeheerders kunnen dit echter doen, omdat HP voor bepaalde kwetsbare printers alleen mitigation-advies biedt.

DNS-achtig protocol

Dat advies om het gevaar van dit openstaande gat te beperken, komt neer op het uitschakelen van het 'faciliterende' LLMNR-protocol in de netwerken van klanten. Die afgeleide van internetadresprotocol DNS (Domain Name Service) maakt het mogelijk namen van apparaten op een netwerk te herleiden zónder DNS-server. Om een hostname te kunnen 'vertalen' naar een bijbehorend IP-adres vuurt een LLMNR-gebruikend systeem een multicast-pakket af over het hele netwerk. Daarin zit dan het verzoek aan apparaten om te reageren als zij de bewuste naam hebben.

Deze opzet biedt mogelijkheden voor misbruik door kwaadwillenden. Het advies om LLMNR uit te schakelen is jaren terug al gegeven door security-experts. Ook HP raadt nu aan om LLMNR niet langer te gebruiken. Voor de printer- en mfp-modellen waarvoor de fabrikant een firmwarefix uitbrengt, is dat optioneel, maar voor de modellen die geen fix krijgen, is uitschakeling van het netwerkprotocol de enige oplossing. Pwn2Own-wedstrijdorganisator Zero Day Initiative (ZDI) meldt in zijn advisory dat de fout schuilt in HP's implementatie van het LLMNR-protocol; daarin ontbreekt juiste validatie van aangeleverde data waardoor een buffer overflow kan worden getriggered.

Confirmed! Our last (streamed) attempt saw the DEVCORE team use a stack-based buffer overflow to get code execution on the HP Color LaserJet Pro. They earn another $20,000 and 2 Master of Pwn points, bringing their day 1 total to $100K and 10 points. #Pwn2Own
— Zero Day Initiative (@thezdi) November 2, 2021