披着狼皮的羊——寻找惠普多款打印机中的RCE漏洞(5)
2023-06-03 来源:旧番剧
不安全的出厂重置功能
PRET工具包似乎包含了两个没有记录或者至少说不明显的方法,可将惠普打印机重置为出厂默认设置,从而将“Administrator”密码重设为默认无密码。通过PJL接口和SNMP可以实现这一点,即使设备上已经设置了管理密码,在默认情况下它们都是不安全的。
除此之外,即使在PJL和SNMP接口已被管理员保护的情况下,也有可能将SNMP社区字符串重置为“public”的默认值!这可以利用一个鲜为人知但惠普默认启用的功能下实现,这个功能允许打印机在启动时通过DHCP或BOOTP服务器重新配置。
每次打印机启动,当从DHCP服务器获得IP地址时,它也会在DHCP响应中查找一些特殊的配置选项。其中一个选项指定了一个TFTP服务器,打印机可以检索应用各种配置设置的配置文件。在这些设备的详细说明手册中,惠普正确指出了,任何手动配置设置优先于DHCP配置的设置。然而,在DHCP配置中有些选项允许清除手动配置的设置,包括以下内容:
安全复位:将打印服务器上的安全设置重置为出厂默认值。
冷复位:冷复位后重置为TCP/IP出厂默认设置。
启用这些选项的DHCP服务器配置文件将与项目代码一起发布在GitHub上(https://github.com/foxglovesec/HPwn)
三、不安全的默认设置
受到前面测试结果的启发,我们想看是否能找到可以应用到打印机上的安全设置组合,以阻止上述攻击。具体来说,是找到管理员应该做些什么才能让任何用户都无法重置“Administrator”密码。
我们发现这是有可能实现的,但是现实环境中的管理员不太可能成功锁定这些打印机的管理界面,至少他们需要从默认值中更改以下设置,并且注意,这里没有向用户表明,这些设置与安全性有关联。我们将展示管理菜单中的完整路径,以演示打印机中这些设置藏得有多深: