打印机无处不在。在企业,在家里,在学校,但你在做网络安全评估的时候是否考虑过他们?你上一次更新打印机固件是什么时候?您是否知道您的打印机有公共漏洞?Tenable安全公司进行了研究,并发布了漏洞检测 nessus 插件100461 ,能够检测此漏洞。他们研究的主要过程如下。
4月HP公告打印机任意代码执行漏洞cve-2017-2741
在4月初, 惠普发布了一个安全公告, 标题是 hp PageWide 打印机、hp officejet pro 打印机、任意代码执行 。公报指出:
某些 hp 打印机已识别出潜在的安全漏洞。可能会利用此漏洞来执行任意代码。
这不是一个特别有用的总结, 因为大多数客户看到了 潜在 ,会停止阅读 。 cve-2017-2741的描述更加无用。在编写本报告时, 在 hp 安全公告之后两个多月, cve 缺乏任何类型的说明, 因为它仍然处于 "保留" 状态。
令人好奇的是, 这种 "潜在" 的安全漏洞,CVSSv2 给了9.8 分数。这促使了我们的好奇心, 我们购买了一对HP上市的打印机 (hp officejet pro 8210)。
购买新的硬件, 并希望有漏洞的固件仍然有效,这始终是一个猜测。谁知道撤销修补需要多少工作量?幸运的是, 两台打印机都安装了易受攻击的固件并禁用了更新。(厂商为啥要禁用更新?)
惠普的安全公告总是让人沮丧,它总告诉读者从 www.hp.com/support 下载固件更新,但是HP officejet pro 8210 的固件无法下载。但是, 使用 "自动安装" 更新并立即检查打印机 web 界面上的功能, 我们能够将打印机更新为已修补的固件。
在这一点上, 我们有一个补丁和未修补的打印机,这让我们有机会开始挖掘远程代码执行漏洞的机会。我们从 nmap 扫描开始, 查找打开的打印机端口。
问题从PJL命令开始 出在远程重启打印机功能
PJL命令是打印机作业语言模式(PJL)的可用命令。有关PJL的详细信息,请参考Hewlett-Packard的打印机作业语言技术手册。这个PJL命令已经数次导致HP打印机出现漏洞。
研究员对可能包含启动脚本的位置进行写访问,这已经非常接近远程代码执行了。随后他们编写了一个脚本, 找出重新启动打印机的方法, 以便脚本将被执行。一种方法是在 web 界面中使用电源循环功能 (在 "工具" 菜单下)。另一种方法是使用 snmp 打印机 mib 来对设备进行电源循环。
研究员运行了一个脚本,在脚本中, 将启动脚本与配置文件的内容组合到profile.d 目录,然后 重新启动 snmp。30秒后,研究员入侵了打印机并通过1270端口打开了Root Shell
albinolobster@ubuntu:~$ python printer_exploit.py 192.168.1.158 9100 connecting to 192.168.1.158 port 9100 @PJL FSQUERY NAME="0:/../../rw/var/etc/profile.d/lol.sh" TYPE=FILE SIZE=119 Done! Try port 1270 in ~30 seconds albinolobster@ubuntu:~$ nc 192.168.1.158 1270 whoami root
Tenable安全公司建议 一定要及时更新打印机固件
幸运的是, 对于每个人来说, 一旦你理解了攻击向量, 这个小漏洞就很容易被发现。Tenable在五月下旬发布 了 nessus 插件100461 ,能够检测此漏洞。
总而言之, 不要忽略打印机。打印机是一台计算机, 它应该受到同样的对待。扫描一下更新它。监视它。谁知道什么问题可能潜伏在里面?
原文发布时间:2017年6月15日
本文由:tenable发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/hp-officejet-ace-cve-2017-2741#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
