漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-094571
漏洞标题:HP某型号打印机设计不当导致远程未授权打印漏洞
相关厂商:惠普
漏洞作者: 守望
提交时间:2015-01-30 17:34
修复时间:2015-05-01 06:48
公开时间:2015-05-01 06:48
漏洞类型:设计不当
危害等级:高
自评Rank:10
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-30: 细节已通知厂商并且等待厂商处理中
2015-01-31: 厂商已经确认,细节仅向厂商公开
2015-03-27: 细节向核心白帽子及相关领域专家公开
2015-04-06: 细节向普通白帽子公开
2015-04-16: 细节向实习白帽子公开
2015-05-01: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
HP LaserJet M1536dnf MFP 打印机9999端口存在未授权打印漏洞,通过向9999端口发送任意内容都可被打印出来,也可以一直发包让打印机一直处于打印状态(DOS)。
你可能会说打印机不就是让大家都可以使用的么?但如果打印机开放个端口,任意人都可以往里边丢包打印,这就一定是设计不当了。
当然,在内网里问题不大,但如果端口暴露在外网那么这就是一种风险。根据个人搜索发现,目前互联网上存在大量此类型打印机。
详细说明:
0x00-事情的起因
前些天,公司网络接入了一款运维设备,然后每隔一段时间打印机就会在没人打印的情况下自动打印东西。开始以为是运维设备通过snmp下发的指令导致的,然后关掉了打印机的SNMP发现依旧存在这样的问题,并且导致了我和负责运维的人双方撕逼,闹得好不愉快。所以,我决定分析一下,到底是什么原因导致的。
0x01-罪魁祸首
第一步工作,我猜测运维设备进行运维时很大的可能性是对整个网段进行了端口扫描,因此我使用了nmap对打印机进行了一次扫描。
nmap首先将端口开放状态列了出来,然后再进行服务识别时,打印机突然嘤嘤地响了起来。
额。。。好像明白了些什么。这就是nmap的扫描时请求的包了。搞清楚这一点后,我们只需知道到底是哪个端口响应了请求,就应该知道根源点了。
第二步工作,端口溯源。我分别对每个端口进行nmap扫描,来找出到底是哪些端口响应了nmap的扫描请求。
当扫描到9999端口时,打印机开始打印了。然后我又分别试探完所有nmap扫描到的开放端口,发现只有扫描9999端口时打印机才会打印,由此可以确认罪魁祸首便是9999端口了。
0x02-抓包分析
我又再一次扫描了一次9999端口,但这一次我使用wireshark抓取9999端口来分析具体的nmap进行了哪些请求。
我们来看第一个包:
我们再来看第一个打印的:
再对比一下,第二个和第三个包:
相信您一定看出来,发包的顺序和打印顺序一致了。
0x03-确认
这时候我有理由相信,我发送给9999端口什么样的内容,它就会打印出什么样的内容。所以,试一试:
嗯,就酱紫。
0x04-影响范围
本来测试时第一个9999端口是开放的,可现在提交就不开放了。GFW ...
漏洞证明:
RT
修复方案:
9999端口通信采用加密/认证|授权
版权声明:转载请注明来源 守望@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:4
确认时间:2015-01-31 06:46
厂商回复:
Thank you for the detailed report, we will evaluate this and respond as needed.
最新状态:
2015-02-06:This issue was resolved by applying the latest firmware for the printer. This firmware is available on HP.com.