-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Drukarki HP LaserJet Pro – nieuwierzytelniona możliwość pobrania hasła administracyjnego i innych informacji

02 sierpnia 2013, 10:39 | Aktualności | komentarzy 13

Wstęp

Część modeli drukarek sieciowych HP umożliwia zdalne pobranie haseł administracyjnych oraz innych informacji konfiguracyjnych drukarki (łącznie z takimi informacjami jak: WPS PIN – w przypadku drukarek mających interface WiFi). Aby pobrać ww. dane należy użyć specjalnych, „ukrytych” URL-i, które nie wymagają uwierzytelnienia.

Informacje poniżej mogą być wykorzystane tylko w celach edukacyjnych i są to nasze autorskie badania.

Podatne modele

HP LaserJet Pro P1102w, HP LaserJet Pro P1606dn, HP LaserJet Pro CP1025nw, HP LaserJet Pro M1212nf MFP, HP LaserJet Pro M1213nf MFP, HP LaserJet Pro M1214nfh MFP, HP LaserJet Pro M1216nfh MFP, HP LaserJet Pro M1217nfw MFP, HP LaserJet Pro M1218nfs MFP, być może inne(?)

Poniżej, przykładowe urządzenie tego typu: M1217nfw, (C) HP.

M1217nfw

Szczegóły

Warte wskazania są co najmniej dwa adresy URL::

http://IP_ADDRESS/dev/save_restore.xml

W tym przypadku otrzymujemy dostęp do znacznej liczby parametrów konfiguracyjnych (przeszło 100), w tym do hasła administracyjnego do urządzenia (jeśli zostało ustawione):

dev_restore_hp

Hasło wydaje się być zaszyfrowane… ale chwila, tak naprawdę są to znaki ASCII hasła zapisane w HEX i sklejone ze sobą. Na przykład na zrzucie powyżej: 0x746573746f7765 oznacza hasło: testowe

Innymi słowy, tą techniką możemy odzyskać hasło administracyjne, niezależnie od jego złożoności – świetna metoda na odzyskiwanie zapomnianego hasła ;)

Inne potencjalnie interesujące parametry:

  • e_cloudPrinterID
  • e_cloudPrinterKey
  • e_StatusLog
  • e_CartNVRam
  • e_WifiStaConfig

Jeśli drukarka ma interface WiFi, można np. uzyskać dostęp do takiego linku:

http://IP_ADDRESS:8080/IoMgmt/Adapters/wifi0/WPS/Pin

wps
Możemy mieć więc dostęp do klucza WPS, gdzie z kolei znaleźć SSID sieci? Np. w parametrze e_WifiStaConfig (save_restore.xml – powyżej).

History

  • 19.04.2013 wysłana informacja do HP
  • 19.04.2013 wstępna odpowiedź od HP
  • 24.04.2013 potwierdzenie podatności przez HP
  • 26.07.2013 opublikowanie nowego firmware
  • 31.07.2013 podsumowanie podatności przez HP
  • 02.08.2013 szczegóły dostępne na sekuraku

 — michal.sajdak<at>securitum.pl

 

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Niezłe. Ciekawe o czym myślał ktoś, kto to projektował. Wróć… raczej nie myślał. Jest jeszcze malutka szansa, że po prostu nie miał manii prześladowczej i uważał, że wszyscy userzy są uczciwi? Naiwniak ;-)

    Szkoda, że pod ręką mam tylko samusnga bo chętnie bym to przetestował.

    Odpowiedz
  2. b

    No nieźle, obydwa URLe działają na mojej drukarce (mam P1102w, firmware przedstawia się jako: 20120814), jednak w save_restore.xml nie ma zmiennej 'e_WifiStaConfig’, a jest podłączona do WiFi.
    PS. Nie dev_restore.xml, tylko /dev/save_restore.xml ;P

    Odpowiedz
    • No różne modele mogą się nieco różnić między sobą. Zresztą tych zasobów IoMgmt jest cała masa. I mały bonus: jest też coś co wygląda na ukryty panel zarządczy HP, ale jeszcze nad tym pracuję ;)
      –ms

      Odpowiedz
  3. MateuszM

    Zapewne to słodka tajemnica autora jak namierzył te adresy ale chętnie bym się dowiedział choć trochę o metodologii ich wynajdywania.

    Odpowiedz
    • Dość prosta analiza firmware-u. Akurat tutaj zrobiłem to w ten sposób że włączyłem aktualizację firmwareu, jednocześnie wiresharkiem nagrywając ruch. W zrzucie komunikacji jest firmware. Ale można i prościej ;]

      –ms

      Odpowiedz
  4. marek

    A to można być na zewnątrz, czy trzeba być podłączonym do sieci w której jest drukarka żeby zadziałało? :hmm:

    Odpowiedz
    • Musi być dostępny otwarty port 80/8080 (domyślnie są otwarte, ale nie koniecznie FW puszcza tą komunikację na zewnątrz).
      Interesujące z kolei są te parametry e-cloud – potencjalnie widzę tu możliwość dostępu do archiwalnych dokumentów drukowanych tym mechanizmem.
      –ms

      Odpowiedz
  5. Marcin

    @Nikodem, a moze warto tez Samsunga sprawdzic ? ;-)

    Odpowiedz
  6. marek

    @sekurak,
    dzięki, no to czas przestać drukować po wifi :ok:

    Odpowiedz
  7. Potwierdzam na mojej HPLaserP1102W, firmware z 20130213. :) 7131773265337234

    Odpowiedz
  8. yaslaw
    Odpowiedz
  9. radek

    W koncu atrament wyparl laser. W wydaniu HP to jest wydruk z szybkoscia nawet 70str na minute, przy idealnej jakosci wydruku

    Odpowiedz
  10. Bartuź

    na M1536dnf z firmware 20120629 wyskakuje 404

    Odpowiedz

Odpowiedz