Los expertos que las descubrieron y dieron la voz de alarma son Timo Hirvonen y Alexander Bolshev, de F-Secure Labs. Así, el tandem bautizó los dos fallos de manera colectiva, refiriéndose a ellos como Printing Shellz. Su hallazgo, el pasado 29 de abril llevó al fabricante norteamericano a publicar parches a principios de este mes.
El primer fallo, CVE-2021-39237 , es una vulnerabilidad de divulgación de información que afecta a determinadas impresoras HP LaserJet, HP LaserJet Managed, HP PageWide y HP PageWide Managed. Ha recibido una puntuación CVSS de 7.1.
La segunda falla, CVE-2021-39238, responde a una vulnerabilidad de desbordamiento de búfer que afecta a determinados productos HP Enterprise LaserJet, HP LaserJet Managed, HP Enterprise PageWide y HP PageWide Managed. Su puntuación es bastante mayor, al tratarse de un fallo de seguridad crítico: 9,3.
"Los fallos están en el panel de comunicaciones de la unidad y en el analizado de fuentes", señalan Hirvonen y Bolshev.
"Un atacante puede explotarlos para obtener derechos de ejecución de código; el primero requiere acceso físico, mientras que el segundo se puede lograr de forma remota. Un ataque exitoso permitirá que un adversario logre varios objetivos, incluido el robo de información o el uso de la máquina comprometida como 'cabeza de playa' (beachhead) para futuros ataques contra una organización".
Cómo causar una "mala impresión"
La clasificación de gravedad crítica de CVE-2021-39238 también se debe a que la vulnerabilidad se puede usar con gusanos, lo que significa que podría explotarse para autopropagarse a otras impresoras multifunción en la red comprometida.
En un escenario de ataque hipotético un ciberdelincuente podría incrustar un exploit para las fallas de análisis de fuentes en un documento PDF malicioso y luego hacer ingeniería social del objetivo para que imprima el archivo. Además, al mismo tiempo, un empleado de la organización víctima podría ser atraído a un sitio web fraudulento.
"El sitio web imprimiría, automáticamente, de forma remota un documento que contiene una fuente creada con fines malintencionados en la impresora multifunción vulnerable, dando al atacante los derechos de ejecución del código en el dispositivo", aclaran los expertos.
Para evitar problemas desde F-Secure aconsejan instalar los parches que ha publicado HP.