惠普打印軟件JetDirect漏洞致多款網絡打印機受威脅
本月中,西班牙研究人員Guerrero研究發現惠普打印軟件JetDirect存在漏洞,使攻擊者可以繞過生物或刷卡的安全保護,訪問部分打印文檔,或通告網絡對存在漏洞的網絡打印機造成拒絕服務攻擊。
JetDirect雖然是惠普設計的,但是眾多打印機都使用該軟件,包括Canon、Lexmark、Samsung和Xerox。該軟件負責處理通過網絡提交的打印請求。網絡打印機通過JetDirect協議,偵聽,接收打印請求數據,如下圖所示是通過nmap掃到網絡打印機的監聽端口:
當連接到網絡打印機后,JetDirect會添加額外的信息使得打印機能夠解析打印任務。此處涉及3個關鍵概念。
UEL (Universal Exit Language ) ,這些命令通常在發往打印機的數據包的頭和尾,語法形如%-12345X,0x1B表示ESCape
PJL (Printer Job Language ),用于告訴打印機執行什么動作,是對PCL的額外支持。
PCL (Printer Control Language ),用于規范格式化頁面的基本語言。看是去無害的,但卻成為大多數解析器和解釋器的漏洞利用代碼。
如下圖所示為典型的打印任務數據包
由于研究者是用西班牙語寫的,注釋只能湊合著看了,想了解具體意思恐怕要看JetDirect官方手冊了:
http://h20000.www2.hp.com/bc/docs/support/SupportManual/bpl13207/bpl13207.pdf
http://h20000.www2.hp.com/bc/docs/support/SupportManual/bpl13211/bpl13211.pdf
通過修改傳入PCL/PJL解析器的tags,攻擊者便可觸發DoS攻擊。
也許企業想已經有指紋訪問,PINs,密碼,智能卡等等已經可以有效保護他們的打印機,但事實上,那些企業里經過深度加密的文檔,一旦發送到打印機去,便自動失去了保護。攻擊者可以直接訪問或重新打印打印機內存內的打印任務。研究人員認為以下產品都存在安全漏洞:
Canon, Fujitsu, HP, Konica Minolta, Lexmark, Xerox, Sharp, Kyocera Mita, Kodak, Brother, Samsung, Toshiba, Ricoh, Lanier, Gestetner, Infotek, OCE, OKI
漏洞一:繞過認證
一般企業打印機都有各種認證防止非授權訪問打印機,如RFID卡,指紋識別,智能卡,LDAP密碼
但事實上通過往打印機的網絡端口發送如上所說的特殊數據包,即可繞過認證使用網絡打印機。
結果如下所示:
分析發往打印機的文檔可發現兩個重要label:
1 @ PJL SET JOBNAME = "C: \ Documents and Settings \ Divine \ My Documents \ TU \ TDOC \ cad files \ kapak.dwg Model (1)"
2 @ PJL SET USERNAME = "AAA"
漏洞二:篡改打印任務Assigning work to system users
進一步利用上面的漏洞,攻擊者可以修改分配到打印任務label的值。(此處小編理解為使用排隊中的任務號,打印自己修改的內容)
漏洞三:制造拒絕服務攻擊
如上數據包所示,發送到打印機的數據信息,包括決定文檔樣式,文檔格式結構,打印機動作參數等,都是值得關注的地方。這些值都會被打印機解析器解釋。因此在這些點上傳入一個不被期望的值,則可造成DoS攻擊。
下面以一段PCL打印指令為例說明:
1 ^[&l7H^[&l-1M^[*o5W^M^C^@^G?^[*o-2M^[*o5W^M^B^@^@^A^[*o5W^K^A^@^@^@^[*o5W^N^C^@^@^E^[*o5W^N^U^@^@^@^[&l110A^[&u600D^[*o5W^N^E^@^S`^[*o5W^N^F^@^[g^[*r4724S^[*g12W^F^_^@^A^BX^BXg # W——配置柵格數據命令,如上面的g12W,負責設置顏色深度,垂直和水平分辨率等。
o # W ——配置驅動命令,如上面o5W,通常用于執行設置打印機的指令,具體可參見每個打印機的配置表單。
& L7H——設定紙張源,本例子代表自動
& L-1M——Media Type Bond
& L110A——結合PCL_JENV_CHOU3宏代碼定義紙張的高度
& U600D——表示每英寸PCL的單元數
修改任意以上的參數為未預期值,都可能造成打印機掉線或直接迫使它們需要人工reset。如下圖所示:
漏洞四:觸摸屏
其中一個現代打印機的先進之處就是有一個觸摸屏,通過觸摸屏可以控制一些配置頁面,例如下圖修改FTP服務的配置。
(原文還有一處通過輸入超長字符串造成DoS攻擊效果)
SANS上周已經就此發出安全警告,以此提醒企業對網絡打印機安全的重視。
