Lỗ hổng bảo mật ảnh hưởng đến 150 dòng máy in HP

Hôm 30/11, các chuyên gia bảo mật của F-Secure đã công bố lỗ hổng hưởng đến 150 dòng máy in đa chức năng (MFP) khác nhau của HP, có thể bị tin tặc lợi dụng để chiếm quyền kiểm soát các thiết bị, đánh cắp thông tin nhạy cảm, xâm nhập vào mạng doanh nghiệp và dùng làm bàn đạp để thực hiện các cuộc tấn công khác.

Hai lỗ hổng - gọi chung là Printing Shellz - được các nhà nghiên cứu của F-Secure Labs, gồm Timo Hirvonen và Alexander Bolshev phát hiện và báo cáo cho HP vào ngày 29/4/2021. 

"Các sai sót nằm trong bộ phận kết nối và trình phân tích font chữ của thiết bị. Kẻ tấn công có thể khai thác chúng để giành quyền thực thi mã", Hirvonen và Bolshev cho biết. "Một cuộc xâm nhập thành công sẽ cho phép tin tặc đạt được các mục tiêu khác nhau, bao gồm đánh cắp thông tin hoặc sử dụng máy bị xâm nhập làm bàn đạp cho các cuộc tấn công trong tương lai", các chuyên gia mô tả thêm.

Đến đầu tháng 11, HP đã phát hành bản vá lỗi dưới dạng firmware. Hãng khuyến nghị người dùng và tổ chức nhanh chóng kiểm tra, cài đặt bản cập nhật mới nhất nhằm tránh trở thành nạn nhân của cuộc tấn công nguy hiểm.

Chi tiết lỗ hổng

Hai lỗ hổng bảo mật được đặt tên lần lượt là CVE-2021-39237 và CVE-2021-39238. Trong đó, lỗ hổng thứ 2 được đánh giá nghiêm trọng, với CVSS lên đến 9,3, xếp ở mức cao nhất trong hệ thống chấm điểm các lỗi bảo mật. Cụ thể:

- CVE-2021-39237 (CVSS: 7,1): Lỗ hổng rò rỉ thông tin, ảnh hưởng đến một số máy in HP LaserJet, HP LaserJet Managed, HP PageWide và HP PageWide Managed.

- CVE-2021-39238 (CVSS: 9,3): Lỗ hổng tràn bộ đệm, ảnh hưởng đến một số sản phẩm HP Enterprise LaserJet, HP LaserJet Managed, HP Enterprise PageWide và HP PageWide Managed.

Alexander Bolshev và Timo Hirvonen cho biết cả 2 lỗ hổng đã tồn tại từ năm 2013, chúng có khả năng khiến người dùng bị tấn công mạng trong một khoảng thời gian nhất định.

CVE-2021-39237 liên quan đến 2 cổng kết nối, cấp quyền truy cập đầy đủ vào thiết bị. Nếu khai thác, hacker có thể chiếm quyền truy cập vật lý và dẫn đến khả năng tiết lộ thông tin.

Trong khi đó, CVE-2021-39238 là lỗ hổng tràn bộ đệm trên trình phân tích cú pháp font chữ, nghiêm trọng hơn rất nhiều. Kẻ tấn công có khả năng thực thi lệnh từ xa, đồng thời phát tán mã độc từ máy in sang toàn bộ mạng.

Do đó, các tổ chức phải nâng cấp firmware máy in của họ càng sớm càng tốt để tránh trở thành nạn nhân của cuộc tấn công quy mô lớn.

Nhiều kịch bản tấn công

Bolshev và Hirvonen của F-Secure đã sử dụng máy in đa chức năng (MFP) HP M725z làm thiết bị thử nghiệm và phát hiện ra những lỗ hổng trên.

Theo giải thích của các nhà nghiên cứu, có một số cách để khai thác 2 lỗ hổng này, bao gồm:

- In từ ổ USB, cũng là cách đã được sử dụng trong quá trình tìm hiểu của Bolshev và Hirvonen. Hiện tại, sau khi cập nhật firmware mới do HP phát hành vào đầu tháng 11, tính năng in từ USB bị tắt theo mặc định.

- Tấn công phi kỹ thuật (Social Engineering) để in một tài liệu độc hại. Hacker nhúng đoạn mã khai thác lỗ hổng phân tích font chữ trong một tệp PDF và tìm cách lừa người dùng in nó.

- In bằng cách kết nối trực tiếp với cổng LAN vật lý trên thiết bị mục tiêu.

- In từ một thiết bị khác nằm dưới sự kiểm soát của kẻ tấn công và trong cùng một hệ thống mạng với máy mục tiêu.

- In chéo trang (XSP): gửi mã khai thác trực tiếp đến máy in từ trình duyệt bằng HTTP POST đến cổng JetDirect 9100/TCP. Các nhà nghiên cứu cho rằng đây là hướng tấn công mang lại hiệu quả nhất.

- Tấn công trực tiếp thông qua các cổng UART được đề cập trong mô tả về lỗ hổng CVE-2021-39237, nếu kẻ tấn công có quyền truy cập vật lý vào thiết bị trong một thời gian ngắn.

Sau khi tìm hiểu, Bolshev và Hirvonen cho rằng để khai thác CVE-2021-39238, sẽ mất vài giây. Trong khi đó, một tin tặc kinh nghiệm có thể thực hiện cuộc tấn công dựa trên CVE-2021-39237 trong vòng chưa đầy 5 phút.

Tuy nhiên, việc này đòi hỏi một số kỹ năng và kiến thức. Ở thời điểm hiện tại, cách nhà nghiên cứu bảo mật của F-Secure vẫn chưa công khai toàn bộ chi tiết kỹ thuật về 2 lỗ hổng mới.

Ngoài ra, dù máy in không phải là thiết bị dễ kiểm tra khả năng bảo mật, thông qua giám sát lưu lượng mạng và nhật ký hệ thống, quản trị viên của tổ chức có thể phát hiện ra cuộc tấn công.

Cuối cùng, F-Secure chưa ghi nhận bằng chứng nào về việc tấn công thông qua lỗ hổng vừa được tìm thấy trên thực tế. Do đó, có thể các nhà nghiên cứu là những người đầu tiên phát hiện ra chúng.

Sau khi lỗ hổng được công bố, đại diện HP lên tiếng xác nhận trên Bleeping Computer.

"HP liên tục giám sát vấn đề bảo mật và đánh giá cao việc giúp xác định các mối đe dọa tiềm ẩn mới. Chúng tôi đã công bố thông tin về lỗ hổng. Bảo mật của khách hàng là ưu tiên cao nhất. HP khuyến cáo người dùng luôn cảnh giác và cập nhật hệ thống của họ".

Cách hạn chế rủi ro, giảm thiểu thiệt hại

Ngoài việc nhanh chóng nâng cấp firmware trên tất cả máy in bị ảnh hưởng, quản trị viên có thể làm theo các hướng dẫn sau để giảm thiểu rủi ro do lỗ hổng gây ra.

- Tắt tính năng in từ USB.

- Đặt máy in vào một mạng VLAN riêng biệt nằm sau tường lửa của doanh nghiệp.

- Chỉ cho phép các kết nối đi từ máy in đến một danh sách địa chỉ cụ thể.

- Thiết lập một máy chủ in chuyên dụng để giao tiếp giữa máy trạm và máy in.

Cuối cùng, cần nhấn mạnh rằng ngay cả khi không cập nhật bản vá mới, nếu hệ thống tuân thủ theo các phương pháp phân đoạn mạng (network segmentation) phù hợp thì khả năng bị thiệt hại do các cuộc tấn công cũng giảm thiểu đáng kể.

Ngoài ra, hãng HP cũng phát hành tài liệu hướng dẫn chi tiết về các cách bảo mật cho máy in.