Une importante vulnérabilité à corriger dans les imprimantes HP

HP vient de publier un bulletin d’alerte concernant une cinquantaine de modèles d’imprimantes des familles LaserJet Enterprise, PageWide Enterprise, LaserJet Managed, et OfficeJet Enterprise. Dans sa note d’information, le constructeur évoque un risque d’exécution de code arbitraire et dresse la liste des mises à jour disponibles pour les logiciels embarqué des imprimantes concernées.

La situation ne manque pas d’une certaine ironie : depuis plus de deux ans, HP assure la promotion de ses systèmes d’impression et de ses services associés en insistant sur la sécurité. Fox Glove Security, qui a alerté le constructeur fin août, ne manque d’ailleurs de gouter cette ironie.

Dans un billet de blog, il détaille, expliquant avoir trouvé le moyen de contourner les mécanismes de contrôle de signature des librairies à chargement dynamique du logiciel embarqué. Des exemples de code de démonstrations ont été publiés sur GitHub. Mais cela ne s’arrête pas là.

Dans leur billet de blog, les chercheurs de Fox Glove Security expliquent avoir conduit leurs travaux sur deux modèles d’imprimantes HP, les MFP-586 et M553. En s’appuyant sur le kit de détournement d’imprimantes PRET, ils cherché des vulnérabilités « classiques », comme l’accès aux tâches d’impression, leur manipulation, ou encore la restauration des réglages par défaut – pour réinitialiser les protections éventuellement mises en place par les administrateurs. Avec succès.

En particulier, ils indiquent que « même lorsque les interfaces PJL et SNMP ont été protégées par un administrateur diligent », il est possible de forcer la réinitialisation des réglages du système d’impression en intervenant sur le serveur DHCP. En l’absence de protection de ces interfaces, c’est bien sûr encore plus simple.

La mauvaise nouvelle est que, pour les imprimantes comme pour les autres objets connectés, beaucoup sont exposés en ligne, sur Internet. En France, le moteur de recherche spécialisé Shodan recense ainsi près de 150 imprimantes LaserJet exposant leur interface PJL, un peu moins de dix imprimantes PageWide, et à peu près autant de systèmes OfficeJet. Toutes interfaces confondues, il faut compter avec près de 600 imprimantes. Mais toutes marques et tous modèles confondus, ce sont plus de 900 interfaces PJL qui sont exposées sur Internet dans l’Hexagone.