The Hacker Newsは11月30日(米国時間)、「Critical Wormable Security Flaw Found in Several HP Printer Models」において、HP(Hewlett Packard Enterprisase)製の複数の多機能プリンタに2件の脆弱性が報告されたと伝えた。これらの脆弱性を悪用すると、対象のデバイスを制御して機密情報を盗み出したり、任意のコードを実行したりすることができるという。
報告されているのは次の2件の脆弱性で、F-Secure Labsの研究者によって2021年4月29日に発見され、同11月に製造元のHPに報告されたという。
- CVE-2021-39237: HP LaserJet、HP LaserJet Managed、HP PageWide、およびHP PageWide Managedシリーズに影響を与える情報開示の脆弱性
- CVE-2021-39238: HP Enterprise LaserJet、HP LaserJet Managed、HP Enterprise PageWide、HP PageWide Managedに影響を与えるバッファオーバーフローの脆弱性
これらの脆弱性は発見者によって「Printing Shellz」と名付けられた。F-Secure Labsによる次の記事では、Printing Shellzに関する詳細なレポートのPDFと、リモートコード実行の実証動画が公開されている。
-
WITH GREAT RESEARCH COMES GREAT RESPONSIBILITY: PRINTING SHELLZ
CVE-2021-39237の方は悪用するには物理的にプリンタにアクセスする必要があるが、CVE-2021-39238はリモートからも悪用可能であり、より深刻度が高いという。CVE-2021-39238を悪用されると、対象のデバイスで任意のコードを実行することができる。さらに、この脆弱性はワーム攻撃可能、すなわち侵害されたネットワーク上の他のデバイスに自動的に伝播させることができる可能性もあるという。CVSS v3のベーススコアは9.3で、深刻度はCritical(緊急)に分類されている。
脆弱性は通信ボードとフォントパーサーにあり、攻撃を成功させるには攻撃コードを仕込んだPDF文書を印刷させるだけでいいという。攻撃のシナリオとしては、攻撃コードを仕込んだPDF文書を用意し、ターゲットをソーシャルエンジニアリングして印刷させる方法や、攻撃コードを仕込んだWebサイトにアクセスさせて自動的にリモートから印刷させるクロスサイト印刷攻撃と呼ばれる方法が例示されている。
発見者によると、Printing Shellzは150を超えるHP多機能プリンタに影響を及ぼすという。影響を受けるデバイスを使用している場合、修正パッチが利用可能になり次第、できるだけ早くインストールすることが推奨されている。
