Des chercheurs en sécurité ont découvert entre autres des failles de sécurité critiques dans le firmware de nombreuses imprimantes multifonctions HP. L’une de ces failles permettrait aux pirates d’introduire un code malveillant quelconque. En outre, des cybercriminels pourraient s’infiltrer dans le réseau ou des codes malveillants pourraient se propager d’imprimante en imprimante. De plus, des informations pourraient ainsi s’échapper. HP a mis à disposition des mises à jour du micrologiciel pour plus de 100 modèles d’imprimantes concernés. En l’état actuel, les chercheurs n’ont pas trouvé d’indices indiquant que les failles ont déjà été exploitées.

Peu de gens pensent à l’imprimante comme porte d’entrée dans le réseau local pour les cambrioleurs ou les logiciels malveillants. C’est pourquoi les imprimantes ne sont généralement pas prises en compte dans la gestion des correctifs. Pourtant, de petits ordinateurs sont intégrés dans les grands appareils multifonctions qui servent à des départements entiers. Ils enregistrent diverses données telles que les ordres d’impression, les informations de configuration ou les données d’accès aux lecteurs réseau.

Simplement imprimer …

Les chercheurs en sécurité de F-Secure ont examiné de plus près le matériel et le logiciel d’une des imprimantes concernées. Ils ont découvert des failles dans le traitement des jeux de caractères dans le firmware. Ces lacunes ont pu être exploitées en imprimant des fichiers Postscript manipulés afin d’introduire et d’exécuter du code arbitraire.

Les premières analyses ont eu lieu sur un firmware de 2013 qu’ils ont trouvé sur l’appareil de test. Lorsqu’ils ont réussi à s’y introduire, ils se sont attaqués au firmware actuel au moment du test. Avec quelques adaptations, les failles ont pu être exploitées. Sur les serveurs FTP de HP se trouvaient des fichiers de micrologiciels pour d’autres appareils, que les experts informatiques ont examinés à la recherche de la faille trouvée – et là aussi, ils ont trouvé ce qu’ils cherchaient. Dans leur rapport détaillé, les chercheurs de F-Secure expliquent comment ils ont procédé.

Les chercheurs de F-Secure énumèrent également les vecteurs d’attaque potentiels. Le plus critique serait une attaque via cross-site printing : le navigateur Web envoie par exemple une requête HTTP POST avec le code malveillant au port JetDirect 9100 (TCP) lors de la visite d’un site Web malveillant. Les pirates pourraient attirer les utilisateurs sur une telle page préparée en leur envoyant un e-mail.

En outre, il serait possible d’imprimer – et donc d’infecter – à partir d’un autre appareil déjà pris en charge : la faille pourrait être exploitée par un ver, un code qui se propage de manière autonome sur le réseau. D’autres portes d’entrée seraient l’impression d’un fichier manipulé à partir d’une clé USB, en branchant directement un appareil sur le port RJ45 ou par exemple par ingénierie sociale.

Les mises à jour du micrologiciel comblent les lacunes

Une autre annonce de sécurité de HP concerne une deuxième faille (CVE-2021-39237, risque élevé) trouvée par les chercheurs de F-Secure. Pour cela, les attaquants ont besoin d’un accès physique aux imprimantes. Au final, ils pourraient ainsi accéder sans autorisation à des informations telles que des travaux d’impression ou des données d’accès enregistrées.

Dans un bulletin de sécurité sur cette faille critique, HP dresse la liste des différentes séries de modèles concernées (CVE-2021-39238, CVSS 9.3). Les utilisateurs HP devraient vérifier la liste sous « Affected Products » dans le message de sécurité pour voir si les modèles qu’ils utilisent en font partie. Hewlett Packard met à disposition des micrologiciels mis à jour sur la page de support et de téléchargement, sur laquelle on peut rechercher le numéro de modèle. Les administrateurs devraient les installer rapidement et inclure à l’avenir la mise à jour régulière des firmwares d’imprimantes dans la planification des correctifs.