¿Está tu impresora poseída?

Con el sugerente título de “Imprime si te atreves”, Ang Cui ayudado por Jonatan Voris, empiezan su charla mostrando dos impresoras HP y un par de respuestas a preguntas frecuentes de HP, que se contradicen entre sí: por un lado, dicen que sus impresoras multifuncionales no son susceptibles a virus y gusanos, mientras que en la respuesta siguiente dice que es posible, pero altamente improbable, porque los hackers prefieren atacar los ordenadores y servidores porque requieren menos especialización.

La vulnerabilidad ha sido hecha pública el 23 de noviembre y ha tenido ya mucho impacto en los medios, incluyendo exageraciones sobre la posibilidad de convertir las impresoras en bombas incendiarias. Esto es absolutamente falso: ellos lo han intentado pero no es posible quemar el papel de la impresora (por diseño: hay electrónica que apaga las resistencias si la temperatura es muy alta), y han mostrado este papel como prueba.

Ver la demostración en vivo es impresionante: es posible transmitir un virus a una impresora láser (por ejemplo a través de un documento infectado que una empresa recibe de fuera – ellos ponían el ejemplo de un CV), de modo que a partir de ese momento, esa impresora por un lado puede enviar una copia de todos los documentos que se imprimen a otra impresora externa, y por otro lado puede servir de vector de ataque hacia otros PCs que estén en la misma LAN.

El parche para la vulnerabilidad se ha publicado muy recientemente (23 de diciembre), por lo que los investigadores no han contado todos los detalles. Lo que sucede es que muchos modelos de impresoras HP (hasta 56 han sido actualizadas) pueden ser actualizadas con un comando de impresión, que dado que muchas utilizan el protocolo lpr, no tiene autenticación. Lo crucial es que independientemente de eso, esos ficheros sólo tienen protección de integridad (un CRC, vamos), no de autenticidad (estar firmados por una clave criptográfica privada).

Con lo que si se consigue descifrar el formato del fichero de actualización (y eso no ha sido sencillo), cualquiera puede escribir un nuevo firmware, y a partir de ahí, es sólo cuestión de tener acceso a imprimir en esa impresora (aunque existe la posibilidad teórica de incrustar el firmware dentro de un documento, eso no ha sido posible demostrarlo – y además llamaría la atención porque el firmware base ocupa 7MB) para infectarla.

El proceso para descifrar el formato del fichero no ha sido fácil, ya que las estrategias más sencillas (mirar el fichero, binwalk, google y la ingeniería social) no dieron resultado. Hubo que recurrir a la fuerza: desoldar el fichero de flash de arranque y sacar el contenido mediante un lector improvisado con un Arduino. En ese proceso se descubrió la faceta más peligrosa del virus: dentro de las cosas que el virus podría hacer, es incluirse en la flash del equipo, y conmutarla a modo “sólo lectura”, un proceso irreversible que dejaría la impresora poseída para siempre.

¿Cuántas impresoras son vulnerables? Se calcula que HP vende unos 40 millones de impresoras al año, aunque de esas, la mayor parte está en redes privadas donde no es fácil encontrarlas. Eso sí, él ha censado 75k impresoras potencialmente vulnerables conectadas directamente a Internet… así que alguna infectable inmediatamente sí que la hay.

¿Y cuál es la mitigación posible? Pues ir corriendo a casa (o a la oficina) y desenchufar la impresora (sobre todo para la impresora objetivo del ataque, la HP 2055DN). Luego, pasado el primer pánico, volver a conectarla y deshabilitar la actualización de firmware remota. Bajarse el nuevo firmware de HP, habilitar de nuevo la actualización y actualizarlo. Y en general: aplicar protección al servidor de impresoras, poner las impresoras en una VLAN aparte y similares medidas habituales en entornos corporativos.