check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

HP 기업 프린터에서 원격코드실행 취약점 발견돼

길민권 기자 mkgil@dailysecu.com 2017년 11월 27일 월요일

encryption-6.jpg
HP의 기업 프린터들 중 일부에서 심각한 원격 코드 실행 취약점이 발견됐다.

HP는 2015년 새로운 기업용 레이저젯 프린터들을 출시했으며 보안을 향상시킬 수 있는 기능들을 도입해 왔다.

이에 해외 보안연구원들은 HP PageWide Enterprise 586dn 다기능 프린터(MFP)와 HP LaserJet Enterprise M553n 프린터를 테스트했다.

이 팀은 독일의 연구원들이 개발한 PRET(Printer Exploitation Toolkit)이라는 해킹 툴을 사용했다.

연구원들은 과거에 이 툴을 이용해 델, Brother, Konica, 삼성, HP, OKI, Lexmark 등에서 제조한 20개 이상의 프린터 모델에서 보안 취약점들을 발견한 바 있다.

이 취약점의 영향을 받는 프린터들은 대부분의 레이저 프린터에서 사용 되는 일반적인 프린팅 언어인 PostScript와 PJL과 관련이 있다. 연구원들은 이 결함은 수십년이 넘게 존재해 왔다고 말했다.

연구원들은 모든 인쇄 작업들, 심지어는 PIN 코드로 보호 된 인쇄 작업들의 내용까지도 접근할 수 있는 경로 조작(path traversal) 결점을 PRET 툴을 사용했다. 이후 공격자들이 악용할 경우 인쇄 작업의 내용을 조작하고 기기를 공장 초기화 시킬 수 있는 취약점을 발견했다.

원격 코드 실행(RCE) 취약점을 찾기 위해 연구원들은 HP 프린터에서 추출한 펌웨어를 역설계 했다. 이들은 제조사에서 구현한 변조 방지 메커니즘을 우회했다.

이들은 서명 유효성 검사로 인해 악성 펌웨어를 기기에 업로드 하는데는 실패했지만 가능한 공격 벡터를 고안해냈다.

그들은 “이러한 방법으로 수정 된 BDL 파일은 프린터에 업로드 되었으며 동작 하는 것으로 확인 되었지만, 아직까지 악의적인 코드 변형은 불가능했다. 우리가 ZIP의 DLL 파일을 변경하려고 시도했을 때, DLL 서명 유효성 에러가 발생하기 시작했다”고 설명했다.

연구원들은 결국 서명 유효성 검사를 해킹하고 악성 DLL을 업로드해 임의의 코드를 실행하는데 성공했다. 이후 테스트에 사용한 툴과 PoC 악성코드를 공개했다.

그리고 지난 8월 이를 HP에 제보했으며, HP는 이번주에 보안 업데이트를 공개할 예정이다. [정보출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록