Vulnérabilités dans plusieurs produits HP

Le 1er novembre 2021, L’entreprise HP a publié un bulletin de sécurité concernant deux vulnérabilités impactant environ 150 produits. Elles ont été identifiées par les consultants Timo Hirvonen et Alexander Bolhev de l’entreprise F-Secure. Les produits concernés sont, entre autres, les imprimantes HP Color Laser Jet, HP Laser jet Enterprise, ainsi que HP Page Wide. Ces deux vulnérabilités sont basées sur un défaut matériel et sur l’analyse de police (HP Font Parser).  Le 30 novembre, une mise à jour du bulletin fut réalisée.

CVE-2021-39238CVE-2021-39237[Score CVSS v3.1: 9.3 / 7.1]

Dans un premier temps, l’attaquant peut commencer son attaque en local ou à distance.

Pour la CVE-2021-39238 , l’attaque peut être réalisée à distance. Un attaquant pourrait exploiter cette vulnérabilité en incitant un utilisateur à visiter un site web malveillant. Sur le site malveillant, une charge pourrait ordonner l’impression d’un document écrit avec une police d'écriture forgée. La police forgée permettrait alors l’exécution de code arbitraire sur l'imprimante lors de l'impression du document.

Pour la CVE-2021-39237, l’attaque doit être réalisée en local.  Le document écrit avec une police forgée pourrait être introduit dans l’imprimante via une clé USB par exemple. Lors de l’impression, la police forgée permettrais alors l’exécution de code arbitraire.
 

Dans un second temps, l’attaquant peut profiter d’un vaste spectre d’actions offensives : il est possible de prendre le contrôle total de l’imprimante et d’y récupérer les documents scannés, imprimer des messages arbitraires, télécharger un code malveillant, ou encore espionner le réseau et les autres appareils. Ces deux vulnérabilités ne semblent pas être exploitées pour le moment.