상세 컨텐츠

본문 제목

HP 기업 프린터에서 원격코드실행 취약점 발견!

국내외 보안동향

by 알약(Alyac) 2017. 11. 24. 14:05

본문

Experts found a way to exploit HP Enterprise printers to hack into company networks


연구원들이 HP의 기업 프린터들 중 일부에서 심각한 원격 코드 실행 취약점을 발견했습니다.


HP는 2015년 새로운 기업용 LaserJet 프린터들을 출시했으며, 보안을 향상시킬 수 있는 기능들을 도입해 왔습니다.


연구원들은 HP PageWide Enterprise 586dn 다기능 프린터(MFP)와 HP LaserJet Enterprise M553n 프린터를 테스트했습니다.


이 팀은 독일의 연구원들이 개발한 PRET(Printer Exploitation Toolkit)이라는 해킹 툴을 사용했습니다.


연구원들은 과거에 이 툴을 이용해 Dell, Brother, Konica, Samsung, HP, OKI, Lexmark에서 제조한 20개 이상의 프린터 모델에서 보안 취약점들을 발견했습니다.


이 취약점의 영향을 받는 프린터들은 대부분의 레이저 프린터에서 사용 되는 일반적인 프린팅 언어인 PostScript와 PJL과 관련이 있습니다. 


연구원들은 이 결함은 수십년이 넘게 존재해 왔다고 말했습니다.


연구원들은 모든 인쇄 작업들, 심지어는 PIN 코드로 보호 된 인쇄 작업들의 내용까지도 접근할 수 있는 경로 조작(path traversal) 결점을 PRET 툴을 사용했습니다. 이후 공격자들이 악용할 경우 인쇄 작업의 내용을 조작하고 기기를 공장 초기화 시킬 수 있는 취약점을 발견했습니다.


원격 코드 실행(RCE) 취약점을 찾기 위해서, 연구원들은 HP 프린터에서 추출한 펌웨어를 역설계 했습니다. 이들은 제조사에서 구현한 변조 방지 메커니즘을 우회했습니다.


이들은 서명 유효성 검사로 인해 악성 펌웨어를 기기에 업로드 하는데는 실패했지만, 가능한 공격 벡터를 고안해냈습니다.


“이러한 방법으로 수정 된 BDL 파일은 프린터에 업로드 되었으며 동작 하는 것으로 확인 되었지만, 아직까지 악의적인 코드 변형은 불가능했습니다. 우리가 ZIP의 DLL 파일을 변경하려고 시도했을 때, DLL 서명 유효성 에러가 발생하기 시작했습니다.”


연구원들은 결국 서명 유효성 검사를 해킹하고 악성 DLL을 업로드해 임의의 코드를 실행하는데 성공했습니다.

그들은 테스트에 사용한 툴과 PoC 악성코드를 공개했습니다. 


그리고 지난 8월 이를 HP에 제보했으며, HP는 이번주에 보안 업데이트를 공개할 예정입니다.




출처 :

http://securityaffairs.co/wordpress/65892/hacking/hp-printers- hacking.html

https://foxglovesecurity.com/2017/11/20/a-sheep- in-wolfs- clothing-finding- rce-in- hps-printer- fleet/


관련글 더보기

댓글 영역