image

HP OfficeJet Printers waren door malafide fax over te nemen

maandag 13 augustus 2018, 10:00 door Redactie, 5 reacties

OfficeJet Printers van HP waren door alleen het versturen van een malafide fax over te nemen, waarna de rest van het achterliggende netwerk kon worden aangevallen. Dat hebben onderzoekers van securitybedrijf Check Point tijdens de Def Con-conferentie in Las Vegas aangetoond.

"We konden de kwetsbaarheid bereiken door een groot XML-bestand van meer dan 2GB naar de printer over tcp-poort 53048 te versturen, waardoor er een stack-based buffer overflow werd veroorzaakt. Via deze kwetsbaarheid kregen we volledige controle over de printer", aldus de onderzoekers. Het probleem ontstaat door de manier waarop de printers met jpg-bestanden omgaan.

Normaliter maakt de OfficeJet-printer bij het ontvangen van een fax gebruik van het tiff-formaat. Daarbij worden de headers door de ontvangende partij opgesteld en gecontroleerd. Wanneer er echter een kleurenfax wordt verstuurd, maakt de printer gebruik van een jpg-bestand. Bij een jpg-bestand heeft de afzender volledige controle over het gehele bestand. Zodra de ontvangende printer een kleurfax ontvangt, wordt de volledige inhoud in een jpg-bestand geplaatst, zonder verdere controle.

Op deze manier is het mogelijk om een fax te versturen die kwaadaardige code bevat waarmee de printer kan worden overgenomen. Vervolgens is het mogelijk om vanaf de gehackte printer ook andere machines in het netwerk aan te vallen. De onderzoekers maakten voor hun demonstratie gebruik van de Eternal Blue-exploit en Double Pulsar-backdoor van de NSA.

Hoewel updates voor Eternal Blue al lange tijd beschikbaar zijn, zijn er nog altijd organisaties die de patch niet hebben uitgerold. HP werd op 1 mei over de kwetsbaarheden ingelicht en op 1 augustus kwam het bedrijf met updates voor meer dan 150 printermodellen. Hieronder een videodemonstratie van de aanval.

Image

Reacties (5)
13-08-2018, 11:56 door Anoniem
Dat is geen probleem want de printers zijn netjes gesegmenteerd, netwerkverkeer is alleen naar de print-server toegestaan welke up-to-date is, en uiteraard zit er monitoring en alarmering op het segment indien de printer opeens wil poort-scannen of verkeer naar buiten probeert te krijgen.

Toch???? :-)
14-08-2018, 00:09 door Anoniem
Als je nog een fax hebt is de kans vrij graat dat ze nog stand-alone pc's hebben en met floppy's rondlopen.
14-08-2018, 06:39 door Anoniem
Door Anoniem: Dat is geen probleem want de printers zijn netjes gesegmenteerd, netwerkverkeer is alleen naar de print-server toegestaan welke up-to-date is, en uiteraard zit er monitoring en alarmering op het segment indien de printer opeens wil poort-scannen of verkeer naar buiten probeert te krijgen.

Toch???? :-)
Fax niet in het netwerk hangen. Is niet nodig. Geen probleem.
14-08-2018, 09:32 door -karma4
Door Anoniem: ... welke up-to-date is ...

DIE up to date is...
14-08-2018, 11:53 door Anoniem
Door Anoniem: Als je nog een fax hebt is de kans vrij graat dat ze nog stand-alone pc's hebben en met floppy's rondlopen.

Blijkbaar weet jij niet dat faxen nog steeds best wel veel gebruikt worden. Zelfs in deze tijd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.