Peneliti keamanan telah menemukan kerentanan yang berpotensi berbahaya pada firmware berbagai model printer Hewlett Packard atau biasa disebut HP Enterprise yang dapat disalahgunakan oleh penyerang untuk mengeksekusi kode arbitrary pada model printer yang terpengaruh secara remote.
Kerentanan (CVE-2017-2750), memiliki tingkat keparahan yang tinggi dengan skala 8.1 CVSS, disebabkan oleh komponen validasi Dynamic Link Libraries (DLL) yang tidak memadai yang memungkinkan dilakukannya pengeksekusian kode arbitrary secara remote pada 54 model printer HP Enterprise yang bermasalah.
Kerentanan ini mempengaruhi 54 model printer mulai dari printer HP LaserJet Enterprise, LaserJet Managed, PageWide Enterprise dan OfficeJet Enterprise.
Kerentanan remote code execution (RCE) ini ditemukan oleh para periset di FoxGlove Security saat mereka menganalisis keamanan printer HP MFP-586 (sekarang dijual seharga $2.000) dan printer HP LaserJet Enterprise M553 (dijual seharga $500).
Menurut sebuah teknis write-up yang diposting oleh FoxGlove pada hari Senin, para periset dapat mengeksekusi kode pada printer yang terkena dampak menggunakan file reverse engineering dengan ekstensi “.BDL” yang digunakan pada update HP Solution dan firmware.
“Ini (.BDL) adalah format biner berpemilik tanpa dokumentasi yang tersedia untuk umum,” kata periset. “Kami memutuskan bahwa reverse engineering format file ini akan bermanfaat, karena akan memungkinkan kami untuk mendapatkan informasi tentang pembaruan firmware dan perangkat lunak Solution.”
Karena HP telah menerapkan mekanisme validasi digital signature untuk mencegah gangguan pada sistem, para peneliti gagal mengunggah firmware berbahaya ke printer yang terkena dampak.
Namun, setelah beberapa peneliti pengujian mengatakan bahwa “mungkin untuk memanipulasi bilangan yang dibaca menjadi int32_2 dan int32_3 sedemikian rupa sehingga bagian dari file DLL yang memiliki digital signature nya diverifikasi dapat dipisahkan dari kode eksekusi aktual yang akan dijalankan pada printer.”
Para peneliti dapat melewati mekanisme validasi digital signature untuk paket perangkat lunak HP “Solution” dan berhasil menambahkan muatan DLL berbahaya Serta mengeksekusi kode arbitrary.
FoxGlove Security telah mempublikasikan source code dari alat yang digunakan selama penelitiannya di GitHub, bersama dengan payload malware proof-of-concept (PoC) yang dapat dipasang secara remote pada printer.
Tindakan yang dilakukan oleh malware proof of concept mereka adalah sebagai berikut:
- Mendownload file dari http[://]nationalinsuranceprograms[.]com/blar
- Menjalankan perintah yang spesifik dalam file pada printer
- Tunggu selama 5 detik
- Mengulang
FoxGlove Security melaporkan kerentanan remote code execution ini kepada HP bulan Agustus 2017, dan vendor tersebut memperbaiki masalah ini dengan merilis update firmware baru untuk printer business dan enterprise nya.
