Meer dan 150 verschillende printers van het merk HP hebben een groot gat in hun beveiliging. Daardoor kunnen kwaadwillenden binnendringen in het apparaat. Ze kunnen gegevens van de printer zelf lezen, maar ze kunnen ook via de printer toegang krijgen tot het netwerk van de gebruiker.
Het is niet bekend of dit gat al is misbruikt. Het beveiligingsgat zit zowel in printers die bij mensen thuis staan als in printers die in bedrijven worden gebruikt. Bij die laatste groep gaat het om multifunctionele printers, waarmee mensen ook kunnen scannen, kopiëren en faxen. In het geheugen van zo’n apparaat kunnen bijvoorbeeld kopieën van paspoorten zitten, of gevoelige informatie van een bedrijf. Zulke informatie kan voor cybercriminelen heel interessant zijn. Als een hacker via de printer binnendringt in een computernetwerk kan dit bijvoorbeeld worden gebruikt om gijzelsoftware te plaatsen. Dan worden alle systemen versleuteld en pas na betaling van losgeld vrijgegeven.
Om zo’n aanval uit te kunnen voeren, moet een nietsvermoedende gebruiker eerst naar een schadelijke website worden gelokt, bijvoorbeeld met een phishingmail. De site stuurt automatisch een opdracht om een tekst af te drukken naar de printer van die gebruiker. In die opdracht zit een code voor een lettertype, en die code blijkt de sleutel om in te kunnen breken in de printer. “Als iemand een document naar de printer stuurt met gemanipuleerde lettertypes waarin een aanvaller zijn eigen programma kan verstoppen, kan een aanvaller zich toegang verschaffen tot het netwerk”, legt onderzoeker Tom Van de Wiele van beveiliger F-Secure uit.
Waarschuwing
F-Secure ontdekte het gat en stuurde afgelopen voorjaar een waarschuwing aan HP. Het werd vervolgens maandenlang stilgehouden, zodat HP een patch kon ontwikkelen om het gat te dichten. Die update is sinds dinsdag beschikbaar. De kwetsbaarheid zelf krijgt de code CVE-2021-392338 mee. Je printer updaten doe je door nieuwe drivers te downloaden op de website van HP.
Volgens F-Secure is er veel kennis nodig om gebruik te kunnen maken van de kwetsbaarheid, niet elke hacker heeft die vaardigheden, maar ervaren criminelen of cyberspionnen kunnen het gat wel gebruiken voor gerichte aanvallen. Het is niet bekend of dat al is gebeurd. “F-Secure heeft geen data die erop wijzen dat dit in het verleden al is gebruikt door criminelen”, zegt Van de Wiele.
