HP上百款印表機爆遠端執行程式碼嚴重漏洞,用戶應儘速更新韌體
印表機的安全風險,隨著IoT的興起而更受矚目,全球印表機知名大廠HP,前陣子(7月31日)剛發布全球首個印表機弱點發現獎勵專案,8月初他們又公開了2項具高度危險性的韌體瑕疵,並提供更新修補,用戶應盡速進行韌體更新。經我們與臺灣HP確認,兩起事件其實並無關連。
本次提供的韌體更新,主要修補兩個具高度危險性的漏洞,將可能引發遠端執行程式碼(Remote Code Execution,RCE)攻擊。
在HP官方網站的資訊安全公告中,列出了CVE-2018-5924、CVE-2018-5925的漏洞,兩者在CVSS 3.0評分高達9.8,均列為嚴重等級。
HP也簡單說明了此次弱點摘要,主要是多款噴墨印表機上發現有兩個安全漏洞,一旦駭客遠端傳送惡意製作檔案至受影響裝置,可能觸發堆疊或靜態緩衝區溢位(Buffer Overflow),進一步導致遠端執行任意程式碼的威脅。
根據HP公布的統計資訊顯示,高達166款HP產品系列受到影響,幾乎遍及HP旗下噴墨系列印表機,包括OfficeJet商用系列近54款、大圖輸出機產品DesignJet系列近24款、高速印表機PageWide系列22款,以及Deskjet與ENVY、Photosmart等系列產品。所幸的是,LaserJet系列雷射印表機並不在清單內。
目前,HP已公告相關韌體更新版本,使用者應儘快前往產品的「軟體和驅動程式」頁面,並按照提供的指示來進行韌體更新。
事實上,此次更新修補影響層面甚廣。以近年HP印表機高度風險等級的韌體更新來看,例如,去年11月的CVE-2017-2750漏洞,CVSS 3.0評分是8.1,影響50款雷射與噴墨引表機;而去年2月的CVE-2016-1503漏洞,CVSS 3.0計分也高達9.8,但僅影響27款OfficeJet與PageWide系列產品。相較之下,這次兩個漏洞不僅具高度危險性,並且影響機款極多。
由於HP本月發布這兩個漏洞修補的時間,與他們公布弱點發現獎勵計畫的時間點很接近。經我們與臺灣HP確認,其實這次的弱點揭露修補,與漏洞獎勵計畫(Bug Bounty program)完全無關。
HP表示,他們是經由第三方研究機構的回饋,瞭解到部分印表機存在網路安全風險,目前他們也已經提供韌體更新方案以降低風險,並發布資訊安全公告。而在資訊安全公告頁面上,其實也有公布這起事件,是由TBA發現並通報HP。
無獨有偶,資安業者Check Point在昨日(12日)公開並展示了一個漏洞攻擊,駭客將能透過複合機設備的傳真協定,來攻擊遠端的傳真機或多功能印表機,並取得裝置的控制權,接著再進繼續攻擊同一網路上的其它電腦。根據Check Point的研究報告說明,他們使用的是一臺HP Officejet Pro 6830噴墨複合機,在他們成功掌控了該傳真機後,進而搜尋到同網段中的電腦,之後再利用EternalBlue發動攻擊。
同時Check Point也提及,他們首先於今年5月1日將此漏洞披露給HP,在7月2到3日時,他們與HP公司面對面會談,證實與討論這些漏洞,並針對HP的修補進行雙方測試與批准,接著在7月23日,他們將漏洞被標記為嚴重。最後,HP在8月1日於網站上發布韌體更新。另外,報告中也提及CVE-2018-5924與CVE-2018-5925,我們從時間與CVE編號來看,顯然兩起事件是有直接關聯。目前我們也正與臺灣HP再次確認中。
Check Point並認為,由於這樣的漏洞涉及通用的傳真協定,因此判斷其它品牌的傳真機或多功能印表機,可能也有同樣的風險,並呼籲其它印表機業者,也應儘快因應採取行動。
積極鼓勵資安並重視產品資安事件處理
HP近年對於印表機上的資安防護,可說是動作頻頻,主動積極修補揭露的漏洞之外,去年我們也曾看到他們拍攝了「The Wolf」系列微電影,表達印表機帶來的潛在資安風險。上月底HP也啟動了全球首個印表機弱點發現獎勵專案,是他們與Crowdsourced Security的弱點發現懸賞平臺Bugcrowd合作,依據漏洞的嚴重程度,提供500美元到1萬美元的獎金。
據了解,這是一項邀請制的弱點發現獎勵計畫,並非公開的專案,由受邀的研究人員擔任獎金獵人,藉由入侵他們旗下的印表機產品,以協助尋找這些印表機的韌體安全漏洞。或許,HP此計畫與這次的嚴重弱點的揭露有關,期望藉助外界力量,為產品提升更多安全性。
在這次引表機產品弱點發現獎勵計畫中, HP尚未制定該專案的期限,但也計畫將該專案延伸至旗下的PC產品線。只是,未來是否將轉成公開形式讓各界參與,HP則沒有相關說明。
HP近日發布的資訊安全公告中,旗下多達166款噴墨印表機,存在兩個具高度危險性的漏洞,目前他們也已經提供韌體更新方案以降低風險,呼籲用戶儘速進行韌體更新以修補漏洞。
