HP : 150 modèles d’imprimantes affectés par 2 vulnérabilités vieilles de 8 ans
Les chercheurs en sécurité de chez F-Secure ont découvert deux failles de sécurité au sein des appareils multifonctions (MFP) de chez HP, et cela concerne au moins 150 modèles différents.
Alexander Bolshev et Timo Hirvonen, deux chercheurs en sécurité de chez F-Secure, ont découvert deux failles de sécurité au sein des appareils multifonctions HP. Ces failles remontent au moins à 2013 et donc pendant tout ce temps, les utilisateurs étaient exposés à des cyberattaques. Néanmoins, les chercheurs de F-Secure n'ont pas connaissance d'attaques où les hackers ont exploité ces failles de sécurité.
HP est au courant de ces vulnérabilités depuis le 29 avril 2021, suite aux informations remontées par F-Secure.
Sommaire
C'est quoi ces failles ? Comment protéger son imprimante ?
Ces failles de sécurité sont identifiables avec les références CVE suivantes :
La vulnérabilité CVE-2021-39237 nécessite un accès physique à l'imprimante pour être exploitée. En exploitant cette vulnérabilité, l'attaquant peut récupérer des informations.
La seconde vulnérabilité, CVE-2021-39238, est une faille de type "buffer overflow" et elle est un peu plus sévère, ce qui se traduit par un score CVSS de 9.3 contre 7.1 pour la première faille. En exploitant cette faille, l'attaquant peut effectuer une exécution de code à distance afin de prendre le contrôle du MFP.
Plusieurs scénarios d'attaques sont envisageables. F-Secure expose le scénario présent sur l'image ci-dessous, où un utilisateur se fait piéger en visitant un site malveillant, et ce même site exploite la vulnérabilité sur l'imprimante ciblée, ce qui lui permet de prendre le contrôle de cette imprimante et ensuite de récupérer les informations qui transitent par l'imprimante, voire même de progresser sur le réseau de la victime.
La bonne nouvelle c'est que le 1er novembre 2021, HP a publié des correctifs pour ces deux vulnérabilités critiques sous la forme de mises à jour de firmware (micrologiciel de l'imprimante).
Quels sont les modèles affectés ?
La liste des modèles est très longue, il y a des modèles HP LaserJet, HP PageWide, HP ScanJet, etc. Je vous invite à utiliser les liens ci-dessus pour consulter la liste des appareils affectés directement sur le site HP.
Une fois sur le site HP, il vous suffit de cliquer sur le lien "Affected products" pour afficher la liste.
Au-delà de la mise à jour du firmware...
Pour se protéger plus largement contre les vulnérabilités qui touchent les imprimantes, et au-delà d'appliquer les mises à jour de firmware, voici quelques recommandations partagées à cette occasion :
- Désactiver l'impression via USB
- Positionner les imprimantes sur un VLAN séparé, derrière un firewall
- Autoriser uniquement les connexions sortantes depuis les imprimantes vers certaines adresses IP ou VLANs (donc pas vers Internet)
- Déployer un serveur d'impression pour la communication entre les imprimantes et les postes de travail
Voici le lien vers le document "HP Printing Security Best Practices" pour creuser le sujet.
