HPの法人向けプリンタに脆弱性、セキュリティ研究者が実証マルウェアを作成

ITmedia エンタープライズ / 2017年11月24日 11時0分

写真

FoxGlove Securityのページ

 米Hewlett-Packard(HP)の法人向けプリンタに深刻な脆弱性が報告された。同社はファームウェアの更新版を公開し、ユーザーに対して、できるだけ早く対応するよう呼び掛けている。

 影響を受けるのはHPの法人向けプリンタ「LaserJet」「PageWide」「LaserJet Managed」「OfficeJet」の各シリーズ。Solution DLLの署名検証に不備があり、任意コードが実行される可能性がある。危険度は共通脆弱性評価システム(CVSS)で「8.1」(最高値は10.0)と評価している。

 今回の脆弱性は、FoxGlove Securityというセキュリティ専門家集団が発見し、11月20日のブログで詳細を公表した。このブログでは、HPが自社のプリンタの安全性を宣伝する目的で作成したとされる「The Wolf」というビデオを紹介している。

 このビデオは冒頭で、「世界には何億台ものビジネスプリンタが存在する。だがセキュアなプリンタはその2%に満たない」と警告し、インセキュアなプリンタが悪用されて会社のネットワークが制御される事態を描写。「HPプリンタはこうした攻撃に対して脆弱ではないと、明らかに示唆している」(FoxGlove Security)という。

 そこで研究チームはHPのプリンタ「MFP 586」と「M553」を購入して、実態を検証することにしたという。

 The Wolfのビデオでは、プリンタで印刷した内容がネットワークを介して攻撃者に傍受される可能性や、プリンタでマルウェアを実行してネットワーク内に潜伏させることができてしまう可能性を示唆していた。

 FoxGloveはそうした筋書きに沿ってHPのプリンタを調べた結果、DLLの署名検証に関する脆弱性を発見したと報告。実際にこの問題を突くマルウェアを作成し、プリンタに仕込んで脆弱性を実証した。

 HPには2017年8月21日に通知したといい、今回の検証に使ったコードはGitHubを通じて公開している。

ITmedia エンタープライズ

トピックスRSS

ランキング