Vulnerabilità su Molteplici Dispositivi HP

 

Proto: N041117.

Con la presente Yoroi desidera informarLa riguardo alla recente pubblicazione di una importante vulnerabilità all’interno di molteplici firmware su dispositivi HP di fascia Enterprise. La criticità è nota con l’identificativo CVE-2017-2750 ed il suo corretto sfruttamento da parte di attaccanti di rete può portare a compromissioni ed installazione di impianti malware all’interno dei device bersaglio.

Analisi svolte da terze parti hanno evidenziato lacune nella validazione degli aggiornamenti firmware in fase di caricamento all’interno dei dispositivi HP afflitti dalla problematica, rendendo possibile l’upload di componenti di sistema infetti in grado di fornire accessi backdoor prolungati e potenzialmente fuori dal perimetro di sicurezza AntiVirus/AntiMalware.

Il caricamento di firmware malevoli può avvenire a causa dell’abuso di privilegi amministrativi da parte di attori malevoli quali insider o attaccanti persistenti. In dettaglio l’upload può avvenire attraverso l’interfaccia di gestione “Web Jet Admin” oppure attraverso la porta di rete 9100 utilizzata per la gestione dei “print job”.

Il Produttore ha confermato la problematica ed ha rilasciato una serie di aggiornamenti di sicurezza per 54 modelli di stampanti e scanner di classe Enterprise. Una lista dettagliata è reperibile all’interno dell’apposito bollettino di sicurezza.

Yoroi consiglia caldamente di pianificare le attività di aggiornamento qualora dispositivi vulnerabili fossero in uso presso le Vostre Organizzazioni in quanto dettagli tecnici e strumenti di attacco sono pubblicamente disponibili.

Qualora non fosse possibile schedulare l’applicazione degli aggiornamenti in tempi contenuti, Yoroi consiglia di effettuare una celere verifica su alcune particolari configurazioni di accesso ai device interessati in quanto esistono vari servizi che, se non opportunamente configurati, possono permettere all’eventuale attaccante di forzare il reset di fabbrica delle configurazioni e conseguentemente accedere all’interfaccia di aggiornamento firmware. Tali configurazioni sono:

  • Networking -> Security -> Mgmt. Protocols -> SNMP” , personalizzare le community string inserendo una password sufficientemente sicura (“Set Community Name”)
  • Security -> PJL Security -> Password”, inserire password personalizzata di accesso ai servizi PJL.
  • Networking -> Other Settings -> Misc Settings -> Enabled Features -> TFTP Configuration File”, disabilitare il supporto al caricamento di file di configurazioni da server TFTP reperiti attraverso configurazioni DHCP

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index