HPの法人向けプリンタに脆弱性、セキュリティ研究者が実証マルウェアを作成

HPはファームウェアの更新版を公開し、ユーザーに対してできるだけ早く対応するよう呼び掛けている。

» 2017年11月24日 11時00分 公開
[鈴木聖子ITmedia]
photo HPの法人向けプリンタに関する脆弱性が報告された(写真は「HP PageWide Enterprise Color MFP 586」)

 米HPの法人向けプリンタに深刻な脆弱性が報告された。同社はファームウェアの更新版を公開し、ユーザーに対して、できるだけ早く対応するよう呼び掛けている

 影響を受けるのはHPの法人向けプリンタ「LaserJet」「PageWide」「LaserJet Managed」「OfficeJet」の各シリーズ。Solution DLLの署名検証に不備があり、任意コードが実行される可能性がある。危険度は共通脆弱性評価システム(CVSS)で「8.1」(最高値は10.0)と評価している。

 今回の脆弱性は、FoxGlove Securityというセキュリティ専門家集団が発見し、11月20日のブログで詳細を公表した。このブログでは、HPが自社のプリンタの安全性を宣伝する目的で作成したとされる「The Wolf」というビデオを紹介している。

photo FoxGlove Securityのページ

 このビデオは冒頭で、「世界には何億台ものビジネスプリンタが存在する。だがセキュアなプリンタはその2%に満たない」と警告し、インセキュアなプリンタが悪用されて会社のネットワークが制御される事態を描写。「HPプリンタはこうした攻撃に対して脆弱ではないと、明らかに示唆している」(FoxGlove Security)という。

 そこで研究チームはHPのプリンタ「MFP 586」と「M553」を購入して、実態を検証することにしたという。

 The Wolfのビデオでは、プリンタで印刷した内容がネットワークを介して攻撃者に傍受される可能性や、プリンタでマルウェアを実行してネットワーク内に潜伏させることができてしまう可能性を示唆していた。

 FoxGloveはそうした筋書きに沿ってHPのプリンタを調べた結果、DLLの署名検証に関する脆弱性を発見したと報告。実際にこの問題を突くマルウェアを作成し、プリンタに仕込んで脆弱性を実証した。

 HPには2017年8月21日に通知したといい、今回の検証に使ったコードはGitHubを通じて公開している。

関連キーワード

プリンタ | HP | 脆弱性 | マルウェア


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ