Printing Shellz

また出ました、プリンターに関連する脆弱性の問題です。
この脆弱性は2つの脆弱性をまとめて呼んでいるものです。

• CVE-2021-39237（CVSSスコア：7.1）
  特定のHP LaserJet、HP LaserJet Managed、HP
  PageWide、およびHPPageWideManagedプリンターに影響を与える情報開示の脆弱性。
• CVE-2021-39238（CVSSスコア：9.3）
  特定のHP Enterprise LaserJet、HP LaserJet Managed、HP Enterprise PageWide、およびHP
  PageWideManaged製品に影響を与えるバッファオーバーフローの脆弱性。

CVE-2021-39238のほうは特に危険で、リモートでコード実行が可能です。
この脆弱性のCVSSスコアが9.3であることの理由の一つは、これが原因で、侵害されたネットワーク上の他の多機能プリンターに自己伝播するために悪用される可能性があります。

想定される脅威としてはこのようなものがあります。

• 印刷攻撃
  悪意のあるPDFドキュメントにフォント解析の欠陥のエクスプロイトを埋め込み、ターゲットをソーシャルエンジニアリングしてファイルを印刷することで攻撃を成立させる
• クロスサイト印刷攻撃
  Webブラウザから直接脆弱な多機能プリンターにエクスプロイトを送信する過程で、不正なWebサイトにアクセスさせる

実際にこれらの攻撃を成立させるためには、さまざまな前提条件をそろえる必要がありますので簡単に攻撃されてしまう心配としては高いのもではないかもしれません。
しかし、最近の多機能プリンターはいろいろな処理ができる機構が搭載されています。
多機能プリンターに限ったことではないのだと思われます。
こういった多機能な機器に対して、企業などの組織は1種のエンドポイントを構成する高機能で脆弱になりうる端末であると認識し、パソコンと同様にタイムリーにパッチ適用などの日常の活動を実施していく必要がありそうです。

参考記事（外部リンク）：Critical Wormable Security Flaw Found in Several HP Printer
Models
thehackernews.com/2021/11/critical-wormable-security-flaw-found.html