Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Drukarki HP LaserJet Pro – nieuwierzytelniona możliwość pobrania hasła administracyjnego i innych informacji
Wstęp
Część modeli drukarek sieciowych HP umożliwia zdalne pobranie haseł administracyjnych oraz innych informacji konfiguracyjnych drukarki (łącznie z takimi informacjami jak: WPS PIN – w przypadku drukarek mających interface WiFi). Aby pobrać ww. dane należy użyć specjalnych, „ukrytych” URL-i, które nie wymagają uwierzytelnienia.
Podatne modele
HP LaserJet Pro P1102w, HP LaserJet Pro P1606dn, HP LaserJet Pro CP1025nw, HP LaserJet Pro M1212nf MFP, HP LaserJet Pro M1213nf MFP, HP LaserJet Pro M1214nfh MFP, HP LaserJet Pro M1216nfh MFP, HP LaserJet Pro M1217nfw MFP, HP LaserJet Pro M1218nfs MFP, być może inne(?)
Poniżej, przykładowe urządzenie tego typu: M1217nfw, (C) HP.
Szczegóły
Warte wskazania są co najmniej dwa adresy URL::
http://IP_ADDRESS/dev/save_restore.xml
W tym przypadku otrzymujemy dostęp do znacznej liczby parametrów konfiguracyjnych (przeszło 100), w tym do hasła administracyjnego do urządzenia (jeśli zostało ustawione):
Hasło wydaje się być zaszyfrowane… ale chwila, tak naprawdę są to znaki ASCII hasła zapisane w HEX i sklejone ze sobą. Na przykład na zrzucie powyżej: 0x746573746f7765 oznacza hasło: testowe
Innymi słowy, tą techniką możemy odzyskać hasło administracyjne, niezależnie od jego złożoności – świetna metoda na odzyskiwanie zapomnianego hasła ;)
Inne potencjalnie interesujące parametry:
- e_cloudPrinterID
- e_cloudPrinterKey
- e_StatusLog
- e_CartNVRam
- e_WifiStaConfig
Jeśli drukarka ma interface WiFi, można np. uzyskać dostęp do takiego linku:
http://IP_ADDRESS:8080/IoMgmt/Adapters/wifi0/WPS/Pin
Możemy mieć więc dostęp do klucza WPS, gdzie z kolei znaleźć SSID sieci? Np. w parametrze e_WifiStaConfig (save_restore.xml – powyżej).
History
- 19.04.2013 wysłana informacja do HP
- 19.04.2013 wstępna odpowiedź od HP
- 24.04.2013 potwierdzenie podatności przez HP
- 26.07.2013 opublikowanie nowego firmware
- 31.07.2013 podsumowanie podatności przez HP
- 02.08.2013 szczegóły dostępne na sekuraku
— michal.sajdak<at>securitum.pl
Niezłe. Ciekawe o czym myślał ktoś, kto to projektował. Wróć… raczej nie myślał. Jest jeszcze malutka szansa, że po prostu nie miał manii prześladowczej i uważał, że wszyscy userzy są uczciwi? Naiwniak ;-)
Szkoda, że pod ręką mam tylko samusnga bo chętnie bym to przetestował.
No nieźle, obydwa URLe działają na mojej drukarce (mam P1102w, firmware przedstawia się jako: 20120814), jednak w save_restore.xml nie ma zmiennej 'e_WifiStaConfig’, a jest podłączona do WiFi.
PS. Nie dev_restore.xml, tylko /dev/save_restore.xml ;P
No różne modele mogą się nieco różnić między sobą. Zresztą tych zasobów IoMgmt jest cała masa. I mały bonus: jest też coś co wygląda na ukryty panel zarządczy HP, ale jeszcze nad tym pracuję ;)
–ms
Zapewne to słodka tajemnica autora jak namierzył te adresy ale chętnie bym się dowiedział choć trochę o metodologii ich wynajdywania.
Dość prosta analiza firmware-u. Akurat tutaj zrobiłem to w ten sposób że włączyłem aktualizację firmwareu, jednocześnie wiresharkiem nagrywając ruch. W zrzucie komunikacji jest firmware. Ale można i prościej ;]
–ms
A to można być na zewnątrz, czy trzeba być podłączonym do sieci w której jest drukarka żeby zadziałało? :hmm:
Musi być dostępny otwarty port 80/8080 (domyślnie są otwarte, ale nie koniecznie FW puszcza tą komunikację na zewnątrz).
Interesujące z kolei są te parametry e-cloud – potencjalnie widzę tu możliwość dostępu do archiwalnych dokumentów drukowanych tym mechanizmem.
–ms
@Nikodem, a moze warto tez Samsunga sprawdzic ? ;-)
@sekurak,
dzięki, no to czas przestać drukować po wifi :ok:
Potwierdzam na mojej HPLaserP1102W, firmware z 20130213. :) 7131773265337234
Jeśli kogoś interesuje to tutaj jest pokrewny artykuł o innej luce w oprogramowaniu HP:
https://viaforensics.com/security/exploiting-printers-via-jetdirect-vulns.html
W koncu atrament wyparl laser. W wydaniu HP to jest wydruk z szybkoscia nawet 70str na minute, przy idealnej jakosci wydruku
na M1536dnf z firmware 20120629 wyskakuje 404