近日多款HP多功能打印機(MFP)中的兩個安全漏洞被發現,這些漏洞統稱為Print Shellz,影響了大約 150 種HP打印機型號。
統稱為Printing Shellz的兩個漏洞為:
HP MFP信息泄露漏洞(CVE-2021-39237)
該漏洞是由暴露的物理端口導致的,因此利用該漏洞需要攻擊者本地訪問,其CVSS評分為7.1,涉及如下型號 HP LaserJet、HP LaserJet Managed、HP PageWide 和 HP PageWide Managed等。
HP MFP緩沖區溢出漏洞(CVE-2021-39238)
該漏洞的CVSS評分為9.3,攻擊復雜度低,無需特殊權限即可被遠程利用,且無需與用戶交互。需要注意的是,該漏洞為“可蠕蟲式”嚴重漏洞,涉及如下型號HP LaserJet、HP LaserJet Managed、HP PageWide 和 HP PageWide Managed等。
攻擊者可以利用這些漏洞來獲得代碼執行權限,其中CVE-2021-39237需要物理訪問,而CVE-2021-39238可以遠程利用。針對CVE-2021-39238的一個攻擊方式涉及跨站打印(XSP)攻擊,以獲得設備上的代碼執行權限。
此外,由于CVE-2021-39238可蠕蟲利用,這意味著攻擊者可以利用它來自我復制到受感染網絡上的其他 MFP。
目前這些漏洞已經修復。鑒于漏洞的嚴重性,建議用戶盡快更新。
下載鏈接:https://support.hp.com/cn-zh/drivers
參考鏈接:
http://its.dlut.edu.cn/info/1054/72254.htm
https://support.hp.com/us-en/document/ish_5000383-5000409-16/hpsbpi03749
https://support.hp.com/us-en/document/ish_5000124-5000148-16/hpsbpi03748
https://thehackernews.com/2021/11/critical-wormable-security-flaw-found.html