Si tienes alguna impresora de HP lo más recomendable es que la actualices porque se ha detectado un grave problema de seguridad en estos equipos.
Las impresoras de HP cuentan con un grave agujero de seguridad que pone en peligro la información de las personas poseedoras de estos equipos. Ha sido la propia HP la que ha comunicado esta situación y ha dado un poco de luz a los usuarios, haciendo ver que la solución ya está disponible para dichas impresoras.
No han entrado en detalles en cuanto al tipo de problema de seguridad debido a que, cualquier usuario mal intencionado, podría hacer uso de este fallo para hacerse con los datos de los usuarios.
Entre los modelos afectados hay varios populares como son LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format y DeskJet.
HP se ha centrado en informar acerca del tipo de problema, siendo fallos de ejecución remota de código. La solución que han dado es una actualización de última hora que cambia el firmware de dichas impresoras afectadas por uno que no está expuesto a la vulnerabilidad, haciendo que sea de vital importancia actualizar ya mismo la impresora. Para conocer si tu impresora se encuentra dentro de la lista de equipos afectados lo único que hay que hacer es visitar la página web oficial de HP, donde indican los modelos que se han visto
comprometidos. Si tu dispositivo forma parte de esta lista de equipos lo que tocará es ir a la sección de descargas de HP.
A la hora de actualizar este archivo, se hace como si se tratase de un archivo cualquiera desde el propio ordenador. Eso sí, todavía hay modelos que no cuentan con un firmware específico que los libere de este tipo de problemas. HP ha tenido en cuenta esta situación y dan una serie de recomendaciones para los diferentes modelos.
Solo queda esperar y ver si HP ha conseguido actuar antes de que los problemas surjan o, si por el contrario, ya han ocurrido filtraciones de datos de aquellos usuarios con impresoras afectadas por el problema de seguridad que ha salido a la luz en el día de hoy.
Fallo de seguridad en controlador de impresoras oculto durante 16 años
Durante el pasado mes de febrero, investigadores de la empresa sentinelone detectaron un fallo de seguridad en el controlador de impresoras HP y Samsung, y algunos modelos de impresoras Xerox, que permitiría a un atacante escalar a privilegios de administración.
Los investigadores descubrieron que, durante la instalación del software de la impresora, un controlador identificado como ‘SSPORT.SYS’, con fecha de 2005, era instalado e inicializado sin notificar al usuario, incluso sin haber conectado el dispositivo. Dicho controlador permitía la recepción de datos por parte del usuario a través de llamadas de sistema IOCTL (Input/Output Control), sin embargo, el controlador no comprobaba el tamaño de dichos datos, haciéndolo vulnerable a un desbordamiento de búfer
Aunque no existe una prueba de concepto para explotar la vulnerabilidad, esta permitiría a un atacante acceder a cualquier tipo de información del equipo, modificarla e incluso eliminarla, además de permitirle la creación de nuevas cuentas de usuario del equipo con todos los privilegios sobre el mismo.
Ha hecho público el reporte de la vulnerabilidad, el cual puede ser consultado a través de su propio blog. Por otra parte, HP ha identificado hasta 380 dispositivos HP y Samsung vulnerables, los cuales se pueden consultar en el siguiente enlace, mientras que Xerox, ha identificado una docena de impresoras vulnerables.
Dado que las fallas descubiertas por los investigadores de seguridad de F-Secure, Alexander Bolshev y Timo Hirvonen, se remontan al menos a 2013, es probable que hayan expuesto a un gran número de usuarios a ataques cibernéticos durante un período de tiempo considerable.
HP lanzó correcciones de vulnerabilidades en forma de actualizaciones de firmware para dos de los defectos más críticos el 1 de noviembre de 2021.
Estos son CVE-2021-39237 y CVE-2021-39238. Para obtener una lista completa de los productos afectados, haga clic en los números de seguimiento para ver las alertas correspondientes.
El primero se refiere a dos puertos físicos expuestos que garantizan un acceso completo al dispositivo. La explotación requiere acceso físico y podría conducir a la posible divulgación de información.}
La segunda es una vulnerabilidad de desbordamiento de búfer en el analizador de caracteres, que es mucho más grave, con una puntuación CVSS de 9,3. La explotación ofrece a los actores de amenazas una forma de ejecutar código de forma remota.
CVE-2021-39238 también es “desparasitable”, lo que significa que un actor de amenazas podría extenderse rápidamente desde una sola impresora a una red completa.
Por lo tanto, las organizaciones deben actualizar el firmware de la impresora lo antes posible para evitar infecciones a gran escala a partir de este punto de entrada que a menudo se pasa por alto.
Más operadores potenciales
Después de informar sus hallazgos a HP el 29 de abril de 2021, la compañía descubrió que, desafortunadamente, varios otros modelos también se vieron afectados.
Como explican los investigadores en el informe de F-Secure, hay varias formas de explotar los dos defectos, que incluyen:
. Impresión desde memorias USB, que también se utilizó durante la búsqueda. En las versiones de firmware modernas, la impresión USB está desactivada de forma predeterminada.
. Ingeniería social de un usuario para imprimir un documento malicioso. Puede ser posible incrustar un exploit para las vulnerabilidades del análisis de personajes en un PDF.
. Imprima conectándose directamente al puerto LAN físico.
. Imprima desde otro dispositivo bajo el control del atacante y en el mismo segmento de red.
. Impresión entre sitios (XSP): envío del exploit a la impresora directamente desde el navegador mediante HTTP POST al puerto JetDirect 9100 / TCP. Este es probablemente el vector de ataque más atractivo.
. Ataque directo a través de los puertos UART expuestos mencionados en CVE-2021-39237, si el atacante tiene acceso físico al dispositivo durante un período breve.
Además, si bien las impresoras en sí mismas no son ideales para la revisión de seguridad proactiva, pueden detectar estos ataques monitoreando el tráfico de la red y examinando los registros.
Finalmente, F-Secure señala que no ha visto ninguna evidencia de que alguien haya utilizado estas vulnerabilidades en ataques reales. Por lo tanto, los investigadores de F-Secure fueron probablemente los primeros en detectarlos.
Métodos de mitigación
Además de actualizar el firmware en los dispositivos afectados, los administradores pueden seguir estas pautas para mitigar el riesgo de defectos:
- Desactivar la impresión USB
- Coloque la impresora en una VLAN separada detrás de un firewall
- Permitir solo conexiones salientes desde la impresora a una lista específica de direcciones
- Configure un servidor de impresión dedicado para la comunicación entre estaciones de trabajo e impresoras
El último punto enfatiza que incluso sin parchear, si se siguen las prácticas adecuadas de segmentación de la red, las posibilidades de sufrir daños por intrusos en la red disminuyen significativamente.
Una guía detallada sobre las mejores prácticas para asegurar la impresora está disponible en el documento técnico de HP. También puede ver una demostración en video a continuación sobre cómo aprovechar esta vulnerabilidad de la impresora HP.
Fuentes de informacion: