披着狼皮的羊——寻找惠普多款打印机中的RCE漏洞(5)

不安全的出厂重置功能
PRET工具包似乎包含了两个没有记录或者至少说不明显的方法，可将惠普打印机重置为出厂默认设置，从而将“Administrator”密码重设为默认无密码。通过PJL接口和SNMP可以实现这一点，即使设备上已经设置了管理密码，在默认情况下它们都是不安全的。

除此之外，即使在PJL和SNMP接口已被管理员保护的情况下，也有可能将SNMP社区字符串重置为“public”的默认值！这可以利用一个鲜为人知但惠普默认启用的功能下实现，这个功能允许打印机在启动时通过DHCP或BOOTP服务器重新配置。
每次打印机启动，当从DHCP服务器获得IP地址时，它也会在DHCP响应中查找一些特殊的配置选项。其中一个选项指定了一个TFTP服务器，打印机可以检索应用各种配置设置的配置文件。在这些设备的详细说明手册中，惠普正确指出了，任何手动配置设置优先于DHCP配置的设置。然而，在DHCP配置中有些选项允许清除手动配置的设置，包括以下内容：
安全复位：将打印服务器上的安全设置重置为出厂默认值。
冷复位：冷复位后重置为TCP/IP出厂默认设置。
启用这些选项的DHCP服务器配置文件将与项目代码一起发布在GitHub上(https://github.com/foxglovesec/HPwn)
三、不安全的默认设置
受到前面测试结果的启发，我们想看是否能找到可以应用到打印机上的安全设置组合，以阻止上述攻击。具体来说，是找到管理员应该做些什么才能让任何用户都无法重置“Administrator”密码。
我们发现这是有可能实现的，但是现实环境中的管理员不太可能成功锁定这些打印机的管理界面，至少他们需要从默认值中更改以下设置，并且注意，这里没有向用户表明，这些设置与安全性有关联。我们将展示管理菜单中的完整路径，以演示打印机中这些设置藏得有多深：