27 nov. 2017

HPwn: ejecución remota de código en impresoras HP Enteprise

Los investigadores de FoxGlove Security han publicado un estudio sobre la familia de impresoras empresariales de HP, encontrando, entre otras, una vulnerabilidad de ejecución remota de código.

El estudio realizado por Steve Breen (@breenmachine), que ha obtenido la asignación del CVE-2017-2750, demostraba cómo las familias HP LaserJet Enterprise, HP PageWide Enterprise, HP LaserJet Managed y HP OfficeJet Enterprise se veían afectadas por una grave vulnerabilidad remota que permitiría el control total del dispositivo.

Dado que estas impresoras suelen encontrarse en entornos corporativos o departamentales con acceso a redes internas, el hecho de que puedan ser controladas remotamente podría servir para alcanzar mayores impactos, al ser utilizadas como pivote para acceder a la red interna por parte de los atacantes o recopilar información confidencial.

En un extenso estudio donde se han utilizado diversas técnicas y herramientas de pentesting (como PRET - PRET - Printer Exploitation Toolkit), forense y reversing para analizar el firmware de las impresoras, se consiguió determinar que, entre otras vulnerabilidades, existía un error en la librería .DLL encargada de la validación de firmas durante la actualización remota del firmware. Mediante la actualización con un firmware .BDL especialmente modificado, cualquier modelo de HP podría ser comprometido y controlado remotamente.

En su proyecto HPwn en Github, el investigador ha publicado las herramientas necesarias para reproducir este ataque (PoC).

Por su parte, HP ha informado del listado de impresoras afectadas, 54 en total.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!