惠普修复已存在8年的可蠕虫漏洞，影响150多款多功能打印机

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该漏洞由芬兰安全公司 F-Secure 的两名安全研究员 Alexander Bolshev 和 Timo Hirvonen 发现，惠普已在11月1日发布补丁。这两名研究员称该漏洞是位于打印机固件中的缓冲区溢出漏洞，可窃取数据或将设备编译到僵尸网络中，同时几乎不会留下任何利用证据。

研究人员表示利用CVE-2021-39238 可发动多种攻击，如攻击暴露在互联网的设备，或者在网站或广告内加载 exploit 代码。位于企业网络上的或查看广告的用户将使代码触及内网上的端口，以利用本地惠普打印机。

此外，恶意代码还可被加载到插入惠普打印机的USB驱动中，或者加载到发送给目标公司员工的PDF文档中。

另外，研究人员表示还发现了另外一个漏洞 (CVE-2021-39237)，影响打印机的通信板。幸运的是，攻击者只有在物理访问易受攻击设备的情况下才能利用该漏洞，而攻击执行所需时间是5分钟，而之前所述攻击执行只需几秒钟。

研究人员指出，“这些漏洞使攻击者有效地窃取信息：防御人员不可能主动检查打印机的安全，因此攻击者只需坐着等待窃取所遇到的信息即可（通过员工打印、扫描等）。他们还能使用 MFP 作为在企业网络中移动的跳转点，因为嵌入式设备上并不存在执行取证的工具，使得攻击者可轻松渗透组织机构且在无需暴露行踪的情况下实现自己的目标。”

F-Secure 公司表示目前尚未出现这两个漏洞遭利用的痕迹，并建议企业应用补丁。

受影响的设备中有些是惠普的畅销产品如 LaserJet、PageWide 和 ScanJet 产品线。

Statista 数据统计显示，惠普是当前世界上最大的打印机厂商，市场份额占近25%。