当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094571

漏洞标题:HP某型号打印机设计不当导致远程未授权打印漏洞

相关厂商:惠普

漏洞作者: 守望

提交时间:2015-01-30 17:34

修复时间:2015-05-01 06:48

公开时间:2015-05-01 06:48

漏洞类型:设计不当

危害等级:高

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-30: 细节已通知厂商并且等待厂商处理中
2015-01-31: 厂商已经确认,细节仅向厂商公开
2015-03-27: 细节向核心白帽子及相关领域专家公开
2015-04-06: 细节向普通白帽子公开
2015-04-16: 细节向实习白帽子公开
2015-05-01: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

HP LaserJet M1536dnf MFP 打印机9999端口存在未授权打印漏洞,通过向9999端口发送任意内容都可被打印出来,也可以一直发包让打印机一直处于打印状态(DOS)。
你可能会说打印机不就是让大家都可以使用的么?但如果打印机开放个端口,任意人都可以往里边丢包打印,这就一定是设计不当了。
当然,在内网里问题不大,但如果端口暴露在外网那么这就是一种风险。根据个人搜索发现,目前互联网上存在大量此类型打印机。

详细说明:

0x00-事情的起因
前些天,公司网络接入了一款运维设备,然后每隔一段时间打印机就会在没人打印的情况下自动打印东西。开始以为是运维设备通过snmp下发的指令导致的,然后关掉了打印机的SNMP发现依旧存在这样的问题,并且导致了我和负责运维的人双方撕逼,闹得好不愉快。所以,我决定分析一下,到底是什么原因导致的。
0x01-罪魁祸首
第一步工作,我猜测运维设备进行运维时很大的可能性是对整个网段进行了端口扫描,因此我使用了nmap对打印机进行了一次扫描。

QQ截图20150129140004.png


nmap首先将端口开放状态列了出来,然后再进行服务识别时,打印机突然嘤嘤地响了起来。

IMG_0156.JPG


额。。。好像明白了些什么。这就是nmap的扫描时请求的包了。搞清楚这一点后,我们只需知道到底是哪个端口响应了请求,就应该知道根源点了。
第二步工作,端口溯源。我分别对每个端口进行nmap扫描,来找出到底是哪些端口响应了nmap的扫描请求。

QQ截图20150129143432.png


当扫描到9999端口时,打印机开始打印了。然后我又分别试探完所有nmap扫描到的开放端口,发现只有扫描9999端口时打印机才会打印,由此可以确认罪魁祸首便是9999端口了。
0x02-抓包分析
我又再一次扫描了一次9999端口,但这一次我使用wireshark抓取9999端口来分析具体的nmap进行了哪些请求。

QQ截图20150129144517.png


我们来看第一个包:

QQ图片20150129145015.jpg


我们再来看第一个打印的:

IMG_0157.JPG


再对比一下,第二个和第三个包:

QQ截图20150129145510.png


QQ截图20150129145623.png


相信您一定看出来,发包的顺序和打印顺序一致了。
0x03-确认
这时候我有理由相信,我发送给9999端口什么样的内容,它就会打印出什么样的内容。所以,试一试:

#coding:utf-8
import socket
#just for fun!
data = '\x6A\x75\x73\x74\x20\x66\x6F\x72\x20\x66\x75\x6E\x21'
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('192.168.21.103', 9999))
s.send(data)
res = s.recv(1024)
s.close()
print res


IMG_0158.JPG


嗯,就酱紫。
0x04-影响范围

QQ图片20150129150525.png


本来测试时第一个9999端口是开放的,可现在提交就不开放了。GFW ...

漏洞证明:

RT

修复方案:

9999端口通信采用加密/认证|授权

版权声明:转载请注明来源 守望@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2015-01-31 06:46

厂商回复:

Thank you for the detailed report, we will evaluate this and respond as needed.

最新状态:

2015-02-06:This issue was resolved by applying the latest firmware for the printer. This firmware is available on HP.com.

漏洞评价:

评论

  1. 2015-01-30 17:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    哈哈 有意思!!

  2. 2015-01-30 17:42 | wutongyu ( 实习白帽子 | Rank:55 漏洞数:30 | 我的小心脏)

    打印指定服务器账户密码发送到邮箱..那危害可大了

  3. 2015-01-30 17:57 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    笑尿 >O<

  4. 2015-01-30 18:40 | X防部 ( 普通白帽子 | Rank:487 漏洞数:137 )

    根据惠普那老外厂商的尿性 必须忽略

  5. 2015-01-30 19:18 | HeartOfOcean ( 路人 | Rank:2 漏洞数:3 )

    哎 几天前我也提交过类似的 被忽略了。。。

  6. 2015-01-31 20:54 | sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)

    云打印那个功能么?...

  7. 2015-02-06 09:07 | 惠普(乌云厂商)

    This problem was addressed in the latest firmware update for the printer. The port 9999 no longer receives data and prints it. This update is availble on HP.com and resolves this issue.

  8. 2015-02-06 15:17 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    @惠普 well done

  9. 2015-02-06 15:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @惠普 Good Job!

  10. 2015-03-07 15:51 | Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳,我只会第一个!)

    @惠普 Newbility!

  11. 2015-05-01 09:10 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    真奇葩

  12. 2015-05-01 19:44 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    北京理工大学中心教学楼

  13. 2015-05-01 21:44 | 小红猪 ( 普通白帽子 | Rank:194 漏洞数:30 | Wow~~~哈哈~~~)

    Newbility!

  14. 2015-05-01 22:17 | 小荷才露尖尖角 ( 实习白帽子 | Rank:91 漏洞数:13 | less is more)

    这种漏洞可以申报CVE吧

  15. 2015-05-01 23:03 | 屠龙宝刀点击就送 ( 路人 | Rank:4 漏洞数:2 | 简要介绍不能为空)

    66666,这也太奇葩了。。

  16. 2015-05-03 03:00 | 蛋清 ( 路人 | Rank:0 漏洞数:2 )

    rank 4 ,666666