Selon l’éditeur F-Secure, plus de 150 modèles d’imprimantes HP contenaient des failles de sécurité critiques. Elles permettaient aux attaquants de prendre le contrôle de ces machines pour voler des informations par exemple, ou pour s’implanter plus largement sur les réseaux.
Bonne nouvelle, HP a publié en novembre des correctifs pour ces failles de sécurité sur ses MFP identifiées au printemps par F-Secure, un éditeur en cybersécurité. Présentes sur environ 150 modèles d’imprimantes multi-fonctions (MFP), elles servaient à voler des informations ou à mener d’autres attaques sur des réseaux. Les gammes concernées sont les HP LaserJet et PageWide.
Décidément, le secteur de l’impression est devenu la cible d’un nombre croissant de cyberattaques. Par exemple Microsoft avait publié en septembre une troisième mise à jour de sécurité pour corriger – définitivement ? – les dernières vulnérabilités zero-day de PrintNightmare. La faille de sécurité détectée sur le spooler d’impression de Windows permettait aux cyberattaquants d’obtenir tous les privilèges administratifs sur ces terminaux.
Pour en revenir aux MFP de HP, ses récents bulletins de sécurité listaient plus de 150 produits différents affectés par ces vulnérabilités. Timo Hirvonen et Alexander Bolshev, consultants en sécurité chez F-Secure, ont identifié des vulnérabilités sur l’imprimante MFP M725z : le premier problème de sécurité se situe au niveau de ports d’accès physique (CVE-2021-39237), et le second au niveau de l’analyseur de polices (CVE-2021-39238). Le modèle concerné fait partie de la gamme d’imprimantes FutureSmart de HP.
Inciter un utilisateur à visiter un site web malveillant pour exposer l’imprimante
Selon eux, la stratégie la plus efficace pour les hackers consiste à inciter un utilisateur à visiter un site web malveillant pour exposer l’imprimante à une attaque d’impression intersite. Le site web imprime alors automatiquement à distance un document contenant une police de caractères malveillante, ce qui donne au hacker des droits d’exécution de code.
Le hacker peut ensuite voler toutes les informations exécutées (ou mises en cache) par l’imprimante MFP, c’est-à-dire non seulement les documents imprimés, numérisés ou faxés, mais aussi les mots de passe et identifiants de connexion qui relient le périphérique au reste du réseau. Il peut également utiliser ces imprimantes piratées comme avant-poste pour mieux s’implanter sur le réseau et atteindre d’autres objectifs (vol ou modification d’autres données, diffusion de ransomwares, etc.)
L’exploitation des vulnérabilités est difficile en pratique
D’après les chercheurs, l’exploitation des vulnérabilités est en pratique difficile et n’est donc pas à la portée de tous les hackers. Toutefois, les plus chevronnés d’entre eux pourraient choisir de recourir à ces attaques dans le cadre d’opérations ciblées.
Les vulnérabilités de l’analyseur des polices de caractères sont wormables : les hackers peuvent donc créer des malwares capables de pirater l’imprimante multi-fonctions concernée et de s’autopropager ensuite à d’autres imprimantes vulnérables installées sur le même réseau.
« Les entreprises oublient souvent que les imprimantes multi-fonctions ne sont ni plus ni moins que des ordinateurs entièrement fonctionnels. Elles sont piratables, au même titre que des postes de travail ou d’autres endpoints. Les hackers peuvent s’en servir pour endommager l’infrastructure et les opérations d’une entreprise. Il faut savoir que les hackers expérimentés voient en chaque appareil non-sécurisé une opportunité. Les entreprises qui ne sécurisent pas leurs MFP comme les autres endpoints s’exposent à des attaques telles que celles documentées dans notre recherche », explique Timo Hirvonen.
Conseils pour sécuriser les imprimantes multi-fonctions (MFP)
Timo Hirvonen et Alexander Bolshev ont contacté HP au printemps dernier pour communiquer leur découverte. Ils ont ensuite collaboré avec lui pour l’aider à corriger ces vulnérabilités. HP a maintenant publié des mises à jour de firmwares, ainsi que des bulletins de sécurité pour les appareils concernés.
Outre l’application de correctifs, plusieurs mesures doivent être prises pour sécuriser les MFP :
● Limiter l’accès physique aux MFP
● Séparer les MFP dans un VLAN séparé et protégé par un pare-feu.
● Utiliser des autocollants anti-sabotage pour signaler toute manipulation physique de ces machines.
● Suivre les règles de bonnes pratiques des fournisseurs pour empêcher les modifications non- autorisées des paramètres de sécurité.
● Placer les MFP dans des zones surveillées par des caméras de vidéosurveillance, afin d’enregistrer toute manipulation physique de la machine en cas de piratage.