Peneliti keamanan telah menemukan kerentanan yang berpotensi berbahaya pada firmware berbagai model printer perusahaan Hewlett Packard (HP) yang dapat disalahgunakan oleh penyerang untuk menjalankan kode sewenang-wenang pada model printer yang terpengaruh dari jarak jauh.
Kerentanan (CVE-2017-2750), yang memiliki tingkat keparahan yang tinggi dengan skala 8.1 CVSS, disebabkan oleh komponen validasi Dynamic Link Libraries (DLL) yang tidak memadai yang memungkinkan dilakukannya eksekusi kode sewenang-wenang secara remote pada 54 model printer yang bermasalah.
Kelemahan keamanan mempengaruhi 54 model printer mulai dari printer HP LaserJet Enterprise, LaserJet Managed, PageWide Enterprise dan OfficeJet Enterprise.
Kerentanan eksekusi kode jarak jauh ini (RCE) ditemukan oleh para periset di FoxGlove Security saat mereka menganalisis keamanan printer MFP-586 HP (sekarang dijual seharga $ 2.000) dan printer HP LaserJet Enterprise M553 (dijual seharga $ 500).
Menurut sebuah teknis write-up yang diposting oleh FoxGlove pada hari Senin, para periset dapat mengeksekusi kode pada printer yang terkena dampak dengan file reverse engineering dengan ekstensi “.BDL” yang digunakan di kedua solusi HP dan update firmware.
“Ini (.BDL) adalah format biner berpemilik tanpa dokumentasi yang tersedia untuk umum,” kata periset. “Kami memutuskan bahwa rekayasa balik format file ini akan bermanfaat, karena akan memungkinkan kami memperoleh wawasan tentang pembaruan firmware dan solusi perangkat lunak apa yang tersusun.”
Karena HP telah menerapkan mekanisme validasi tanda tangan untuk mencegah gangguan pada sistem, para peneliti gagal mengunggah firmware jahat ke printer yang terkena dampak.
Namun, setelah beberapa peneliti pengujian mengatakan bahwa “adalah mungkin untuk memanipulasi bilangan yang dibaca menjadi int32_2 dan int32_3 sedemikian rupa sehingga bagian dari file DLL yang memiliki tanda tangannya diverifikasi dapat dipisahkan dari kode eksekusi aktual yang akan dijalankan pada pencetak.”
Para periset mampu melewati mekanisme validasi tanda tangan digital untuk paket “Solution” perangkat lunak HP dan berhasil menambahkan muatan DLL yang jahat dan mengeksekusi kode sewenang-wenang.
FoxGlove Security telah membuat kode sumber alat yang digunakan selama penelitiannya tersedia di GitHub, bersama dengan payload malware proof-of-concept (PoC) yang dapat dipasang dari jarak jauh pada printer.
Tindakan yang dilakukan oleh bukti malware konsep mereka adalah sebagai berikut:
Ini mendownload file dari http [: //] nationalinsuranceprograms [.] com / blar
Jalankan perintah yang ditentukan dalam file pada printer
Tunggu selama 5 detik
Ulangi
FoxGlove Security melaporkan kerentanan eksekusi kode jarak jauh ini kepada HP pada bulan Agustus tahun ini, dan vendor tersebut memperbaiki masalah ini dengan merilis update firmware baru untuk printer bisnis dan perusahaannya.
Untuk mendownload pembaruan firmware baru, kunjungi situs web HP di browser web Anda, lalu pilih Dukungan dari atas halaman dan pilih Software & driver. Sekarang, masukkan nama produk atau nomor model di kotak pencarian, lalu gulir ke bawah dalam hasil pencarian ke firmware dan download file yang diperlukan.
