Lỗ hổng bảo mật ảnh hưởng đến 150 dòng máy in HP

Kiến Lập| 30/11/2021 17:19
Theo dõi ICTVietnam trên

Các nhà nghiên cứu đã phát hiện ra một số lỗ hổng nghiêm trọng, ảnh hưởng đến ít nhất 150 dòng máy in đa chức năng do Hewlett Packard sản xuất và đã tồn tại suốt 8 năm.

Lỗ hổng bảo mật ảnh hưởng đến 150 dòng máy in HP - Ảnh 1.

Lỗ hổng nghiêm trọng tồn tại suốt 8 năm trên nhiều dòng máy in HP. (Ảnh: Bleeping Computer)

Hôm 30/11, các chuyên gia bảo mật của F-Secure đã công bố lỗ hổng hưởng đến 150 dòng máy in đa chức năng (MFP) khác nhau của HP, có thể bị tin tặc lợi dụng để chiếm quyền kiểm soát các thiết bị, đánh cắp thông tin nhạy cảm, xâm nhập vào mạng doanh nghiệp và dùng làm bàn đạp để thực hiện các cuộc tấn công khác.

Hai lỗ hổng - gọi chung là Printing Shellz - được các nhà nghiên cứu của F-Secure Labs, gồm Timo Hirvonen và Alexander Bolshev phát hiện và báo cáo cho HP vào ngày 29/4/2021. 

"Các sai sót nằm trong bộ phận kết nối và trình phân tích font chữ của thiết bị. Kẻ tấn công có thể khai thác chúng để giành quyền thực thi mã", Hirvonen và Bolshev cho biết. "Một cuộc xâm nhập thành công sẽ cho phép tin tặc đạt được các mục tiêu khác nhau, bao gồm đánh cắp thông tin hoặc sử dụng máy bị xâm nhập làm bàn đạp cho các cuộc tấn công trong tương lai", các chuyên gia mô tả thêm.

Đến đầu tháng 11, HP đã phát hành bản vá lỗi dưới dạng firmware. Hãng khuyến nghị người dùng và tổ chức nhanh chóng kiểm tra, cài đặt bản cập nhật mới nhất nhằm tránh trở thành nạn nhân của cuộc tấn công nguy hiểm.

Chi tiết lỗ hổng

Hai lỗ hổng bảo mật được đặt tên lần lượt là CVE-2021-39237 và CVE-2021-39238. Trong đó, lỗ hổng thứ 2 được đánh giá nghiêm trọng, với CVSS lên đến 9,3, xếp ở mức cao nhất trong hệ thống chấm điểm các lỗi bảo mật. Cụ thể:

- CVE-2021-39237 (CVSS: 7,1): Lỗ hổng rò rỉ thông tin, ảnh hưởng đến một số máy in HP LaserJet, HP LaserJet Managed, HP PageWide và HP PageWide Managed.

- CVE-2021-39238 (CVSS: 9,3): Lỗ hổng tràn bộ đệm, ảnh hưởng đến một số sản phẩm HP Enterprise LaserJet, HP LaserJet Managed, HP Enterprise PageWide và HP PageWide Managed.

Alexander Bolshev và Timo Hirvonen cho biết cả 2 lỗ hổng đã tồn tại từ năm 2013, chúng có khả năng khiến người dùng bị tấn công mạng trong một khoảng thời gian nhất định.

CVE-2021-39237 liên quan đến 2 cổng kết nối, cấp quyền truy cập đầy đủ vào thiết bị. Nếu khai thác, hacker có thể chiếm quyền truy cập vật lý và dẫn đến khả năng tiết lộ thông tin.

Trong khi đó, CVE-2021-39238 là lỗ hổng tràn bộ đệm trên trình phân tích cú pháp font chữ, nghiêm trọng hơn rất nhiều. Kẻ tấn công có khả năng thực thi lệnh từ xa, đồng thời phát tán mã độc từ máy in sang toàn bộ mạng.

Do đó, các tổ chức phải nâng cấp firmware máy in của họ càng sớm càng tốt để tránh trở thành nạn nhân của cuộc tấn công quy mô lớn.

Nhiều kịch bản tấn công

Bolshev và Hirvonen của F-Secure đã sử dụng máy in đa chức năng (MFP) HP M725z làm thiết bị thử nghiệm và phát hiện ra những lỗ hổng trên.

Lỗ hổng bảo mật ảnh hưởng đến 150 dòng máy in HP - Ảnh 2.

HP đã phát hành bản vá lỗi vào đầu tháng 11. Người dùng và doanh nghiệp cần nhanh chóng cập nhật lại firmware cho máy in của mình. (Ảnh: F-Secure)

Theo giải thích của các nhà nghiên cứu, có một số cách để khai thác 2 lỗ hổng này, bao gồm:

- In từ ổ USB, cũng là cách đã được sử dụng trong quá trình tìm hiểu của Bolshev và Hirvonen. Hiện tại, sau khi cập nhật firmware mới do HP phát hành vào đầu tháng 11, tính năng in từ USB bị tắt theo mặc định.

- Tấn công phi kỹ thuật (Social Engineering) để in một tài liệu độc hại. Hacker nhúng đoạn mã khai thác lỗ hổng phân tích font chữ trong một tệp PDF và tìm cách lừa người dùng in nó.

- In bằng cách kết nối trực tiếp với cổng LAN vật lý trên thiết bị mục tiêu.

- In từ một thiết bị khác nằm dưới sự kiểm soát của kẻ tấn công và trong cùng một hệ thống mạng với máy mục tiêu.

- In chéo trang (XSP): gửi mã khai thác trực tiếp đến máy in từ trình duyệt bằng HTTP POST đến cổng JetDirect 9100/TCP. Các nhà nghiên cứu cho rằng đây là hướng tấn công mang lại hiệu quả nhất.

- Tấn công trực tiếp thông qua các cổng UART được đề cập trong mô tả về lỗ hổng CVE-2021-39237, nếu kẻ tấn công có quyền truy cập vật lý vào thiết bị trong một thời gian ngắn.

Sau khi tìm hiểu, Bolshev và Hirvonen cho rằng để khai thác CVE-2021-39238, sẽ mất vài giây. Trong khi đó, một tin tặc kinh nghiệm có thể thực hiện cuộc tấn công dựa trên CVE-2021-39237 trong vòng chưa đầy 5 phút.

Tuy nhiên, việc này đòi hỏi một số kỹ năng và kiến thức. Ở thời điểm hiện tại, cách nhà nghiên cứu bảo mật của F-Secure vẫn chưa công khai toàn bộ chi tiết kỹ thuật về 2 lỗ hổng mới.

Ngoài ra, dù máy in không phải là thiết bị dễ kiểm tra khả năng bảo mật, thông qua giám sát lưu lượng mạng và nhật ký hệ thống, quản trị viên của tổ chức có thể phát hiện ra cuộc tấn công.

Cuối cùng, F-Secure chưa ghi nhận bằng chứng nào về việc tấn công thông qua lỗ hổng vừa được tìm thấy trên thực tế. Do đó, có thể các nhà nghiên cứu là những người đầu tiên phát hiện ra chúng.

Sau khi lỗ hổng được công bố, đại diện HP lên tiếng xác nhận trên Bleeping Computer.

"HP liên tục giám sát vấn đề bảo mật và đánh giá cao việc giúp xác định các mối đe dọa tiềm ẩn mới. Chúng tôi đã công bố thông tin về lỗ hổng. Bảo mật của khách hàng là ưu tiên cao nhất. HP khuyến cáo người dùng luôn cảnh giác và cập nhật hệ thống của họ".

Cách hạn chế rủi ro, giảm thiểu thiệt hại

Ngoài việc nhanh chóng nâng cấp firmware trên tất cả máy in bị ảnh hưởng, quản trị viên có thể làm theo các hướng dẫn sau để giảm thiểu rủi ro do lỗ hổng gây ra.

- Tắt tính năng in từ USB.

- Đặt máy in vào một mạng VLAN riêng biệt nằm sau tường lửa của doanh nghiệp.

- Chỉ cho phép các kết nối đi từ máy in đến một danh sách địa chỉ cụ thể.

- Thiết lập một máy chủ in chuyên dụng để giao tiếp giữa máy trạm và máy in.

Cuối cùng, cần nhấn mạnh rằng ngay cả khi không cập nhật bản vá mới, nếu hệ thống tuân thủ theo các phương pháp phân đoạn mạng (network segmentation) phù hợp thì khả năng bị thiệt hại do các cuộc tấn công cũng giảm thiểu đáng kể.

Ngoài ra, hãng HP cũng phát hành tài liệu hướng dẫn chi tiết về các cách bảo mật cho máy in.


Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Lỗ hổng bảo mật ảnh hưởng đến 150 dòng máy in HP
POWERED BY ONECMS - A PRODUCT OF NEKO