印表機的安全風險,隨著IoT的興起而更受矚目,全球印表機知名大廠HP,前陣子(7月31日)剛發布全球首個印表機弱點發現獎勵專案,8月初他們又對外公開了2項具高度危險性的韌體瑕疵,並提供更新修補,用戶應盡速進行韌體更新。經我們與臺灣HP確認,兩起事件其實並無關連。
本次提供的韌體更新,主要修補兩個具高度危險性的漏洞,將可能引發遠端執行程式碼(Remote Code Execution,RCE)攻擊。
在HP官方網站的資訊安全公告中,列出了CVE-2018-5924、CVE-2018-5925的漏洞,兩者在CVSS 3.0評分高達9.8,均列為嚴重等級。
HP也簡單說明了此次弱點摘要,主要是多款噴墨印表機上發現有兩個安全漏洞,一旦駭客遠端傳送惡意製作檔案至受影響裝置,可能觸發堆疊或靜態緩衝區溢位(Buffer Overflow),進一步導致遠端執行任意程式碼的威脅。
根據HP公布的統計資訊顯示,高達155款產品系列受到影響,幾乎遍及該公司旗下噴墨系列印表機,包括OfficeJet商用系列54款、大圖輸出機產品DesignJet系列24款、高速印表機PageWide系列22款,以及Deskjet與ENVY、Photosmart等系列產品。所幸的是,LaserJet系列雷射印表機並不在清單內。
目前,HP已公告相關韌體更新版本,使用者應儘快前往產品的「軟體和驅動程式」頁面,並按照提供的指示來進行韌體更新。
相較於去年高風險弱點修補的狀況,這次兩個漏洞不僅具高度危險性,並且影響機款極多。去年2月的CVE-2016-1503漏洞,CVSS 3.0計分也高達9.8,但僅影響27款OfficeJet與PageWide系列產品;去年11月的CVE-2017-2750漏洞,CVSS 3.0評分是8.1,影響50款雷射與噴墨印表機,都不及這次嚴重。
另外,由於HP本月發布這兩個漏洞修補的時間,與他們公布弱點發現獎勵計畫的時間點很接近,不免讓人產生聯想。經我們與臺灣HP聯繫,這次的弱點揭露修補,與漏洞獎勵計畫(Bug Bounty program)完全無關。
HP表示,他們是經由第三方研究機構的通報,瞭解到部分印表機存在網路安全風險,目前他們也已經提供韌體更新方案以降低風險,並發布資訊安全公告。
在HP韌體更新發布後,有資安業者公布該漏洞的攻擊手法
無獨有偶,資安業者Check Point在昨日(12日)正式對外公開了一個漏洞,看起來也還原了這次HP韌體更新的始末,並具體指出CVE-2018-5924與CVE-2018-5925對於傳真印表機的影響。根據Check Point的研究報告說明,駭客將能透過複合機設備的傳真協定,來攻擊遠端的傳真機或多功能印表機,並取得裝置的控制權,接著再進繼續攻擊同一網路上的其他電腦。
他們使用的是一臺HP Officejet Pro 6830噴墨複合機,在他們成功掌控了該傳真機後,進而搜尋到同網段中的電腦,之後再利用EternalBlue發動攻擊。
同時Check Point也提及,他們首先於今年5月1日將此漏洞披露給HP,在7月2到3日時,他們與HP公司面對面會談,證實與討論這些漏洞,並針對HP的修補進行雙方測試與批准,接著在7月23日,他們將漏洞標記為嚴重。最後,HP在8月1日於網站上發布韌體更新。後續,我們再次與臺灣HP確認,他們也表示,這個公開的漏洞與HP上述韌體更新與係指同一事件。
另外,Check Point並認為,他們這次研究雖然是在HP Officejet系列多功能事務機上完成,但由於這項研究涉及通用的傳真協定,因此判斷其他品牌的傳真設備業者,可能也有同樣的風險,並呼籲其他印表機業者,也應儘快因應採取行動。
在Check Point於12日展示的Faxploit示範影片開頭,描述的也就是關於傳真設備上遠端執行程式碼的攻擊。
積極強化資安形象並重視產品資安事件處理
HP近年對於印表機上的資安防護,可說是動作頻頻,在積極修補揭露的漏洞之外,去年我們也曾看到他們邀美影視明星拍攝了「The Wolf」系列微電影,表達印表機帶來的潛在資安風險。上月底HP也啟動了全球首個印表機弱點發現獎勵專案,他們與Crowdsourced Security的弱點發現懸賞平臺Bugcrowd合作,依據漏洞的嚴重程度,提供500美元到1萬美元的獎金。
據了解,這是一項邀請制的弱點發現獎勵計畫,並非公開的專案,由受邀的研究人員擔任獎金獵人,藉由入侵他們旗下的印表機產品,以協助尋找這些印表機的韌體安全漏洞。或許,HP此獎勵計畫與這次的嚴重弱點揭露有關,期望藉助外界力量,為產品提升更多安全性。
在這次印表機產品弱點發現獎勵計畫中, HP尚未制定該專案的期限,但也計畫將該專案延伸至旗下的PC產品線。只是,未來是否將轉成公開形式讓各界參與,HP則沒有相關說明。
HP近日發布的資訊安全公告中,旗下多達155款噴墨印表機,存在兩個具高度危險性的漏洞,目前他們也已經提供韌體更新方案以降低風險,呼籲用戶儘速進行韌體更新以修補漏洞。
熱門新聞
2024-12-08
2024-12-08
2024-11-29