サイバー犯罪者が企業への攻撃に悪用可能なセキュリティ脆弱性、パッチはHPが提供
エフセキュアのセキュリティコンサルタントであるTimo Hirvonen (ティモ・ヒルヴォネン) とAlexander Bolshev (アレクサンダー・ボルシェフ) は、HPのFutureSmartシリーズの多機能プリンターであるMFP M725zに、物理アクセスポートが露出している脆弱性 (CVE-2021-39237) とフォント解析の脆弱性 (CVE-2021-39238) を発見しました。HPが公開しているセキュリティアドバイザリーには、この脆弱性の影響を受ける150種類以上の製品が掲載されています。
これらの脆弱性を最も効果的に悪用する方法は、標的となる企業のユーザーをフィッシングなどで騙して、悪意のあるWebサイトにアクセスさせ、その企業が使用する脆弱なMFPをクロスサイト印刷攻撃と呼ばれる攻撃にさらすことです。ユーザーがこのサイトにアクセスすると、自動的に、悪意を持って作成されたフォントを含むドキュメントを脆弱性を持つMFPでリモート印刷し、攻撃者にMFP上でのコード実行権を与えます。
これらのコード実行権を持つ攻撃者は、MFPを通じて実行される (またはキャッシュされる) あらゆる情報を密かに盗み出すことができます。これには、印刷/スキャン/ファックスされた文書だけでなく、パスワードやログイン情報など、MFPを他のネットワークに接続するための情報も含まれます。攻撃者は、侵害されたMFPを足掛かりとして、その他のデータの窃取や変更、ランサムウェアの拡散など、他の目的のためにさらに企業のネットワーク深くに侵入する可能性もあります。
エフセキュアのリサーチャーたちは、この脆弱性を悪用することは非常に困難であり、低レベルのスキルしか持たない攻撃者では悪用することが難しいと判断していますが、経験豊富で高いスキルを持つ攻撃者であれば、標的型攻撃に用いることができると考えています。
さらに、このフォント解析の脆弱性はワーム化が可能であることが判明しました。つまり、攻撃者は、脆弱性を抱えるMFPを自動的に危険にさらし、同じネットワーク上の他の脆弱なMFPに拡散する自己増殖型のマルウェアを作成することができるのです。
「最近のMFPは、他のワークステーションやエンドポイントと同様に、攻撃者が侵害できる完全な機能を備えたコンピューターである、ということを私たちは忘れがちです。そして、他のエンドポイントと同様に、攻撃者は侵害されたデバイスを利用して、企業のインフラやオペレーションにダメージを与えることができます。経験豊富なサイバー犯罪者であれば、「保護されていないデバイス = 大きなチャンス」と見なします。そのため、MFPの保護が通常のエンドポイントの保護と同様に重要であると認識することのない企業は、今回の調査で報告されたような攻撃にさらされる可能性があるのです。」とHirvonenは説明しています。
MFPを保護するためのアドバイス:
HPはMFPのリーディングカンパニーであり、ハードウェア周辺機器市場の40%を占めていると言われており*1、世界中の多くの企業が今回脆弱性が発見されたモデルのMFPを使用している可能性があります。
HirvonenとBolshevは、本年春に発見した内容をHPに通知し、脆弱性修正のためのサポートを提供しました。現在、HPは脆弱性の影響を受けたモデルのファームウェア・アップデートとセキュリティ・アドバイザリーを公開しています。
この脆弱性を突く攻撃は難易度が高いため、攻撃者の多くにとっては現実的ではありませんが、高度な攻撃の標的となっている企業にとっては、脆弱なMFPを安全に保護することが重要であると、エフセキュアのリサーチャーたちは述べています。
MFPの安全性を確保するうえで、パッチを当てる以外の対策には以下のようなものがあります:
- MFPへの物理的なアクセスを制限すること
- MFPをファイアウォール付きの別のVLANに分離すること
- アンチタンパーステッカーを使用して、デバイスに対する物理的な不正行為を知らせること
- 内部のハードウェアへのアクセスをロック (ケンジントンロックなど) で制御すること
- セキュリティ設定の不正な変更を防ぐための、メーカーのセッティングやベストプラクティスに従うこと
- CCTVで監視されている場所にMFPを設置し、ハッキングされたデバイスが侵害された時に物理的に使用されたことを記録すること
Hirvonenは、企業が取るべき対策について、次のように締めくくっています。
「大企業やインフラなど重要な分野の企業など、高度な技術と豊富なリソースを持つ攻撃者の標的となり得る企業は、このような事態を深刻に受け止める必要があります。直ちに慌てる必要はありませんが、このような攻撃に備えるために、自分たちがどのような脅威にさらされているかを改めて評価する必要があります。今回の攻撃は高度なものですが、ネットワークのセグメンテーション、パッチ管理、セキュリティ・ハードニングなどの基本的な対策で軽減することが可能なものです。」
本リサーチに関する詳細は以下のページにてご覧いただけます。
https://blog.f-secure.com/ja/printing-shellz/ (日本語)
https://labs.f-secure.com/publications/printing-shellz (英語)
*1 https://www.idc.com/promo/hardcopy-peripherals
エフセキュアプレスページ:
https://www.f-secure.com/jp-ja/press
エフセキュアについて
エフセキュアほど現実世界のサイバー脅威についての知見を持つ企業は市場に存在しません。数百名にのぼる業界で最も優れたセキュリティコンサルタント、何百万台ものデバイスに搭載された数多くの受賞歴を誇るソフトウェア、進化し続ける革新的なセキュリティ対策に関するAIテクノロジー、そして「検知と対応」。これらの橋渡しをするのがエフセキュアです。当社は、大手銀行機関、航空会社、そして世界中の多くのエンタープライズから、「世界で最も強力な脅威に打ち勝つ」という私たちのコミットメントに対する信頼を勝ち取っています。グローバルなトップクラスのチャネルパートナー、200社以上のサービスプロバイダーにより構成されるネットワークと共にエンタープライズクラスのサイバーセキュリティを提供すること、それがエフセキュアの使命です。
エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。詳細はhttps://www.f-secure.com/en/welcome (英語) および https://www.f-secure.com/ja_JP/ (日本語) をご覧ください。また、Twitter @FSECUREBLOG でも情報の配信をおこなっています。