Vulnerabilidad critica afecta a más de 200 modelos de impresoras HP (Parchea!)

HP anunció esta semana que más de 250 modelos de impresoras se ven afectados por una grave vulnerabilidad de ejecución remota de código que fue explotada por investigadores en el concurso de hacking Pwn2Own el año pasado, donde los participantes ganaron un total de más de U$S 1 millón.

Registrado como CVE-2022-3942, el problema tiene una puntuación CVSS de 8,4, pero HP lo considera de "gravedad crítica". El agujero de seguridad se describe como un desbordamiento de búfer y HP advierte que puede explotarse para ejecutar código arbitrario de forma remota.

La falla está relacionada con el uso de la resolución de nombres de multidifusión de enlace local LLMNR (Link-Local Multicast Name Resolution) y existe porque la longitud de los datos proporcionados por el usuario no se valida correctamente antes de copiarlos en un búfer basado en pila de longitud fija.

"Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root", explicó Zero Day Initiative (ZDI) de Trend Micro, el organizador de Pwn2Own, en un aviso.

CVE-2022-3942 parece ser la vulnerabilidad que le valió al equipo de investigación DEVCORE U$S 20.000 en Pwn2Own Austin 2021.

HP enumera aproximadamente 250 modelos de impresoras que se ven afectados por este error, incluidos los dispositivos de la serie Enterprise (LaserJet, Color LaserJet, Digital Sender Flow, OfficeJet, PageWide y ScanJet), LaserJet Pro, PageWide Pro, DeskJet y DesignJet.

Se lanzaron actualizaciones de firmware para la mayoría de los productos afectados, pero decenas de modelos de impresoras siguen siendo vulnerables. Para ellos, la compañía recomienda deshabilitar LLMNR HP Enterprise y HP LaserJet Pro) en la configuración de red para mitigar la falla.

Esta semana, HP también lanzó parches para otros tres defectos de seguridad en LaserJet Pro, PageWide Pro y OfficeJet, incluidos dos errores de gravedad crítica (CVE-2022-24293 y CVE-2022-24292) y uno de gravedad alta (CVE-2022 y CVE-24291). Estas vulnerabilidades también se revelaron en Pwn2Own.

Sin embargo, según ZDI, la gravedad de estas fallas es menor, aunque no se requiere autenticación para dos de ellas o se puede omitir para la tercera. La explotación exitosa de estas fallas podría permitir a los atacantes filtrar información, causar una condición de denegación de servicio (DoS) o ejecutar código de forma remota como root.

HP reparó las fallas en 20 impresoras y dice que también está trabajando para resolverlas en otro modelo de impresora. Sin soluciones alternativas disponibles, se recomienda a los clientes que actualicen a una versión de firmware parcheada lo antes posible.

Los investigadores de F-Secure han sido acreditados por estas vulnerabilidades y CVE-2022-24293 parece haber ganado $ 20,000. ZDI dice que CVE-2022-24291 y CVE-2022-24292 también fueron informados en Pwn2Own Austin 2021 por el equipo de F-Secure, pero no está claro si las fallas les valieron a los investigadores alguna recompensa.

Fuente: SecurityWeeks

Suscríbete a nuestro Boletín