紙の使用量が減っているにもかかわらず、オフィスではプリンターが当たり前のように使われています。最近のMFP (プリンター複合機) は、スキャンやファクス、各種ネットワーク機能など、様々なサービスを提供しており、実質的にはコンピューターとしての機能を備えています。
そして、他のコンピューターと同様に、攻撃者はこれらのMFPを侵害する方法を見つけることができます。エフセキュアのセキュリティコンサルタントであるTimo HirvonenとAlexander Bolshevは、プロとしての好奇心からHP製のMFPユニットにハッキングを試み、彼らのリサーチにより、150モデル以上のHP製MFPに影響を及ぼす脆弱性が発見されました。
彼らの好奇心と才能、そして努力により、HPは今回の脆弱性に対するパッチを発行し、かなりの部分のMFPユニットのセキュリティ対策を改善することができました。
TimoとAlexanderは、F-Secure Labsに彼らのリサーチの詳細なテクニカルドキュメントを掲載しました。本ブログは、そのリサーチの概要を簡単に説明するためのFAQとなります。
Alexander Bolshev and Timo Hirvonen
Q: リサーチの内容を簡単に説明してください。
A: HP社のMFP (プリンター複合機) に、悪用可能な複数の脆弱性を発見しました。その脆弱性は、本体の通信ボードとフォントパーサーにあります。攻撃者は、これらを悪用してコード実行権を得ることができます。前者は物理的なアクセスが必要ですが、後者はリモートアクセスで実行できます。攻撃が成功すれば、情報を盗んだり、標的とする企業への将来的な攻撃のための足掛かりとして利用するなど、様々な目的を達成することができます。
Q: リサーチャーは常に脆弱性を発見しています。なぜ人々はこうしたことに注意を払う必要があるのでしょうか?
A:それにはいくつかの理由があります。
一つには、この脆弱性は少なくとも2013年までさかのぼり、市場に出回っている多数のHP製品に影響を及ぼしています。そして、HPは世界中で製品を販売している大企業です。どう考えても、多くの企業がこれらの脆弱なデバイスを使用しているとしか思えません。さらに悪いことに、多くの企業ではプリンターを他の種類のエンドポイントと同様に扱っていません。つまり、IT/セキュリティ部門は、アップデートのインストールなど、これらのデバイスの基本的なセキュリティ対応を忘れてしまっているのです。
もう一つの理由は、MFPなどから証拠を復元できるフォレンジックツールがあまりないため、これらの欠陥をうまく利用した攻撃者は、ほとんど証拠を残さずに済むということです。ステルス性を必要とする攻撃者には良い選択肢となるでしょう。
また、CVE-2021-39238はワーム化が可能であり、攻撃者は同一ネットワーク上の他の脆弱なMFPに独立して拡散することができる自己増殖型のネットワークワームを作成することができます。
このような理由から、企業はこの脅威を理解し、脆弱なMFPを保護することが重要となります。
Q: これらの脆弱性が、ある種の大規模なサイバー攻撃の波を引き起こすと考えるべきでしょうか?
A: いいえ。攻撃を行うには、ある程度のスキルが必要です。多くの攻撃者は、企業に侵入するための他の方法を見つけようとするでしょう。しかし、高度な技術と豊富なリソースを持つサイバー犯罪者の標的となるであろう企業や、重要な産業分野で活動している企業は、脆弱性を持つMFPの更新とセキュリティ保護を優先すべきです。
Q: どの製品が影響を受けますか?
A: HPのセキュリティアドバイザリによると、この脆弱性は150以上の製品に影響します。
- https://support.hp.com/us-en/document/ish_5000124-5000148-16/hpsbpi03748
- https://support.hp.com/us-en/document/ish_5000383-5000409-16/hpsbpi03749
テストデバイスは、HP MFP M725zでした。他の機器でのテストは行っておりません。
Q:HP製品以外でも同様の問題がありますか?
A:他メーカーの機器も同様の問題を抱えている可能性がありますが、他メーカーのMFPについては今回は調査していません。
Q:あなたが発見した脆弱性やセキュリティ上の欠陥とは、具体的にどのようなものですか?
A:私たちのリサーチでは、以下のようないくつかの異なる欠陥が明らかになりました。
- CVE-2021-39237 (デバイスへのフルアクセスを許可する2つの物理ポートが露出している)。
- CVE-2021-39238 ((2 つの異なるフォント解析の脆弱性)。
Q:攻撃者はどのようにしてその脆弱性/欠陥を利用するのですか?
A: これらの欠陥を悪用する方法はいくつかあります。
- USBメモリーからの印刷。これは私たちが調査中に使用したものです。最近のファームウェアバージョンでは、USBからの印刷はデフォルトで無効になっています。
- ソーシャルエンジニアリングによって、ユーザーに悪意のある文書を印刷させること。フォント解析の脆弱性に対するエクスプロイトをPDFファイルに埋め込むことができるかもしれません。ソーシャルエンジニアリングの機会は無限にあります。人事担当者が面接の前に履歴書を印刷したり、受付担当者が入館証を印刷したりなど。
- 物理的なLANポートに直接接続して印刷。
- 攻撃者の制御下にあり、同じネットワークセグメント内にある別のデバイスからの印刷。これは、それぞれの欠陥 (CVE-2021-39238) がワーム化可能であることを意味します。つまり、この脆弱性を利用して、ネットワーク上の他の脆弱なMFPに自己を複製するワームを作成することができます。
- クロスサイト印刷 (XSP): JetDirect ポート 9100/TCP への HTTP POST を使用して、ブラウザから直接プリンターにエクスプロイトを送信します。これは、サイバー犯罪者にとっておそらく最も魅力的な攻撃ベクトルです。
- CVE-2021-39237で言及されている、露出したUARTポートを介した直接攻撃。攻撃者が短時間デバイスに物理的にアクセスした場合。
Q: この攻撃を使用するのはどのくらい難しく、攻撃者はどのくらいの時間と費用をかける必要があるのでしょうか?
A: 熟練した攻撃者であれば、5分少々で物理的なポートを侵害することができるでしょう。また、フォントパーサーの侵害には数秒しかかかりません。しかし、これらはどんな攻撃者でも簡単に実行できるレベルの手法ではありません。また、物理的なアクセスを必要とするものは、攻撃者にとって克服すべきオペレーション上の大きな障壁となります。
Q: 脆弱性/欠陥がもたらす影響はどのようなものですか?
A: 今回説明した方法でこれらの脆弱性を悪用することで、攻撃者が達成できることがいくつかあります。これらの脆弱性は、攻撃者が企業から情報を盗むための効果的な手段となります。防御側がプリンタのセキュリティを積極的に調べることはほとんどないため、攻撃者はただ座っているだけで、従業員による印刷やスキャンなどを通じて、あらゆる情報を盗むことができます。
また、MFPを軸にして企業ネットワーク内を移動することも可能です。組込み機器のフォレンジックを行うまともなツールがないため、攻撃者が企業に侵入し、MFPにつながる証拠を残さずに目的を達成することが容易になります。
また、攻撃者は、同じネットワーク上の他の脆弱なMFPに自己増殖するネットワークワームを作成する可能性があります。
Q:これは、どのくらいの規模の問題なのか、誰にとっての問題なのでしょうか?
A: MFPは非常に一般的で、HPはこの分野でのマーケットリーダーです。IDC(https://www.idc.com/promo/hardcopy-peripherals)によると、HPは世界のハードコピー周辺機器市場の40%を占めています。脆弱性は2013年までさかのぼり、HPの150モデル以上の製品に影響を与えていることから、多くの企業が脆弱なMFPを使用している可能性があります。
しかし、この侵害手法には高いスキルが必要となるため、中小企業にとっては直ちに慌てる必要がある問題ではないでしょう。しかし、豊富なリソースや高度なスキルを持った攻撃者の標的となるであろう大企業や、重要な産業分野に関わる企業は、こうした攻撃は実際に起こり得ると考えるべきです。
Q:これらの攻撃を検知することは可能ですか?
A: はい。防御側は、ネットワークトラフィックの監視やログ解析などにより、攻撃を検知することができます。つまり、エンドポイントのフォレンジックは不可能に近いですが、ネットワーク監視などの方法で攻撃を検知することは可能です。
Q:これらの脆弱性は、攻撃の際に攻撃者となる人物によって利用されているのでしょうか?
A: 攻撃者がこれらの脆弱性を悪用した攻撃を行ったという証拠や報告はありません。
Q:このリサーチの動機は何ですか?
A:当初、主な動機はプロとしての自分自身の成長でした。ティモは具体的には、アレクサンダーと一緒にハードウェアのハッキングプロジェクトを行い、自身の知識を深めたいと考えていました。HP社はプリンター複合機のセキュリティをうまく担保している部分もありましたが、アレクサンダーは最初の問題点を発見するのに、わずか数時間しかかかりませんでした。リサーチが進むにつれ、レッドチーミングなどで使用するいくつかの新しいツールの開発や私たちの考察を進めるために研究内容を拡大し、ステルス性に重点を置くようになりました。
Q: 脆弱性/欠陥の発見にはどのくらいの時間がかかりましたか?
A: ハードウェアコネクタが露出していることは、プロジェクトのごく初期に発見しました。フォント解析の問題を発見するには、リバースエンジニアリングによってフォントパーサーがどこに実装されているかを調べる必要がありました。この脆弱性は、2013年にJoshua J. DrakeがJavaに対して悪用した脆弱性と酷似しているため、フォントパーサーを見つけた後は、それほど時間はかかりませんでした。 https://optivstorage.blob.core.windows.net/web/file/cc8c4a0be14e4df69cec533244b41a60/Pwn2Own-2013-Java-7-SE-Memory-Corruption.pdf
Q:HPに対してこの脆弱性を通知したのはいつですか?
A: 今年の4月29日です。
Q: HPは脆弱性のある製品にパッチを当てましたか?その場合、ユーザーはいつ、どこで情報を得ることができますか?
A: HPは、この脆弱性を修正するファームウェア・アップデートをリリースしました。詳細については、各HPのアドバイザリーに記載されています。
- https://support.hp.com/us-en/document/ish_5000124-5000148-16/hpsbpi03748
- https://support.hp.com/us-en/document/ish_5000383-5000409-16/hpsbpi03749
また、本リサーチのテクニカルドキュメントは、F-Secure Labsから入手することができます。
Q:ユーザーがパッチを当てることの重要性は?
A: 影響を受けるデバイスを使用している企業は、パッチが利用可能になり次第、これをインストールする必要があります。これらの問題を悪用することはやや困難ですが、これらの脆弱性が公開されたことで、攻撃者は脆弱な企業を攻撃するために何を探せばよいかを知ることができます。
Q:なぜ脆弱性・欠陥を公開することにしたのでしょうか?
A: エフセキュアは、情報セキュリティの研究だけでなく、協調的な情報開示を促進することを約束します。私たちは、どのようなメーカーであっても、公正な方法であらゆる脆弱性に対処する機会が与えられるべきだと考えています。同時に、エフセキュアは脆弱性を隠蔽することでセキュリティが確保できるとは考えておらず、そのため、メーカーやユーザーにできるだけ多くの情報を提供するよう努めています。
Q: これは、最近アメリカのオースティンで開催されたPwn2Ownコンテストで、HP製のプリンターにAC/DCのThunderstruckを再生させるために使用したエクスプロイトと関係があるのでしょうか?
A: いいえ。最近のPwn2Ownコンテストで使用されたHP製のMFPデバイスは、異なる製品ファミリーのものであり、当社のブログ記事で紹介されているリサーチで使用されたMFPユニットと共通のコード/バイナリはありません。
しかし、私たちのリサーチ対象となったHPの主力MFP製品ファミリーとPwn2Ownで言及された製品ファミリーの両方に重大なセキュリティ問題が見つかったことは特筆すべきことであり、後日、Pwn2Ownでのリサーチ結果を発表する予定です。ご期待ください。
Q: 脆弱なMFPを保護するために企業ができる対策は他にありますか?
A:フォントパーサーの脆弱性を緩和する方法は複数あります。第一に、USBからの印刷はデフォルトで無効になっており、HPが推奨するようにその状態を維持する必要があります。次に、同じネットワークセグメントにいる攻撃者がJetDirectのTCP/IPポート9100に直接通信することで脆弱性を悪用することができるため、プリンタをファイアウォールで保護された別のVLANに配置することを推奨します。ワークステーションは専用のプリントサーバーと通信し、プリントサーバーのみがプリンターと通信するようにしてください。これは、適切なネットワークセグメンテーションが行われていない場合、悪意のあるWebサイトがブラウザからポート9100に直接エクスプロイトを送信することで、この脆弱性が悪用される可能性があるため、重要なポイントとなります。また、侵害されたプリンター複合機からのラテラルムーブメントやC&C通信を妨げるために、プリンターセグメントからのアウトバウンド接続は、明示的にリストアップされたアドレスのみに許可する必要があります。最後に、セキュリティ設定が不正に変更されることを防ぐために、デバイス設定へのアクセスを保護するためのHPのベストプラクティスに従うことを推奨します。
カテゴリ