HP, 삼성, 제록스 프린터 수백만 대에 영향을 미치는 보안 취약점 발견

 

 

16-Year-Old Security Bug Affects Millions of HP, Samsung, Xerox Printers

 

HP, 제록스, 삼성 프린터에 사용되는 소프트웨어 드라이버에 2005년 이후부터 탐지되지 않은 채 남아있었던 심각도 높은 보안 취약점에 대한 자세한 정보가 밝혀졌습니다.

 

CVE-2021-3438(CVSS 점수: 8.8)로 등록된 이 취약점은 프린터 드라이버 인스톨러 패키지인 "SSPORT.SYS" 내 원격 권한을 활성화시키고 임의 코드 실행을 허용하는 버퍼 오버플로우 취약점입니다.

 

현재까지 전 세계적으로 이 문제의 취약한 드라이버를 사용한 프린터 수억 대가 출시되었습니다.

 

하지만 실제 공격에서 이 취약점이 악용되었다는 증거는 아직까지 찾아볼 수 없었습니다.

 

5월 발표된 권고에 따르면, 특정 HP LaserJet 제품과 삼성 제품의 프린터용 소프트웨어 드라이버 내 잠재적인 버퍼 오버플로우는 권한 상승으로 이어질 수 있습니다.

 

SentinelLabs의 연구원은 이 취약점을 발견해 2021년 2월 18일 HP에 제보했으며 2021년 5월 19일 해당 취약점을 수정하는 패치가 발행되었습니다.

 

 

<이미지 출처 : https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/>

 

 

특히 해당 이슈는 프린터 드라이버가 사용자 입력의 크기를 확인하지 않아 발생하며 권한이 없는 사용자가 권한을 상승시키고 취약한 드라이버가 설치된 시스템 내 커널에서 악성코드를 실행할 수 있게 됩니다.

 

SentinelOne 연구원인 Asaf Amir는 아래와 같이 밝혔습니다.

 

“드라이버 내 취약한 기능은 IOCTL(Input/Output Control)을 통해 사이즈 파라미터를 검증하지 않은 상태에서 사용자 모드에서 전송된 데이터를 받아들입니다. 이 함수는 'strncpy'를 사용하여 사용자가 제어하는 크기 파라미터와 함께 사용자의 입력에서 문자열을 복사합니다. 이는 공격자가 드라이버가 사용하는 버퍼를 오버런할 수 있도록 허용합니다.”

 

흥미롭게도, HP는 마이크로소프트에서 게시한 거의 동일한 윈도우 드라이버 샘플을 복사한 것으로 보이지만, 샘플 프로젝트 자체에는 취약점이 포함되어 있지 않습니다.

 

오래된 소프트웨어 드라이버에서 보안 취약점이 발견된 것은 이번이 처음은 아닙니다. 올 5월 초, SentinelOne은 Dell 펌웨어 업데이트 드라이버인 "dbutil_2_3.sys"에서 발견된 12년동안 공개되지 않은 중요한 권한 상승 취약점 여러 건에 대한 자세한 정보를 공개했습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/07/16-year-old-security-bug-affects.html

https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/

https://nvd.nist.gov/vuln/detail/CVE-2021-3438