home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / hp-jetdirect-DoS.txt < prev    next >
Encoding:
Internet Message Format  |  1999-03-24  |  10.3 KB
  1. Date: Fri, 11 Dec 1998 10:46:36 -0500 (EST)
  2. From: X-Force <xforce@iss.net>
  3. To: alert@iss.net
  4. Cc: X-Force <xforce@iss.net>
  5. Subject: ISSalert: ISS Security Advisory: HP JetDirect TCP/IP problems
  6.  
  7. -----BEGIN PGP SIGNED MESSAGE-----
  8.  
  9. ISS Security Advisory
  10. December 10, 1998
  11.  
  12. HP JetDirect TCP/IP problems
  13.  
  14.  
  15. Synopsis:
  16.  
  17. This advisory covers a number of miscellaneous issues regarding HP
  18. JetDirect printer interface cards and print servers of various vintage. HP
  19. has addressed many of these issues in newer JetDirect print server
  20. products (Fall 98).  More information about newer products and upgrades
  21. are available from HP contact representatives.
  22.  
  23. Older TCP/IP implementations on HP JetDirect cards and servers are 
  24. vulnerable to a wide variety of Denial of Service (DoS) attacks which 
  25. subsequently require power cycling the server or the printer to recover.
  26. Most of these sundry problems have been discussed on the BugTraq mailing
  27. list, bugtraq@netspace.org.  Most point up a particularly fragile TCP/IP
  28. implementation subject to race conditions and poor error recovery.
  29.  
  30. Older JetDirect servers and cards attempt to emulate an lpd style printing
  31. system.  This emulation suffers from several limitations which may or may
  32. not relate to the TCP/IP vulnerabilities.
  33.  
  34. Because of the single-threaded nature of the older JetDirect interface,
  35. whenever one of the JetDirect access ports is occupied, the other ports
  36. are unavailable.  The consequence is that the older JetDirect cannot truly
  37. emulate the spooler characteristics.  When the older JetDirect is
  38. receiving lpd data, it is unavailable to lpq/lpstat queries.  If anything
  39. goes wrong in this single-threaded interface, all access can be denied to
  40. the printer.
  41.  
  42. Newer JetDirect interfaces feature a web interface for configuration, 
  43. access, and control.  Because the interface does not use SSL encryption, 
  44. the potential exists for exposing sensitive information such as 
  45. administrative passwords and configuration information to sniffing 
  46. attacks.
  47.  
  48.  
  49. Recommendations:
  50.  
  51. HP has newer versions of the JetDirect print server products available
  52. which fix most of the problems associated with the older interfaces and
  53. print servers.  If an upgrade is available, the JetDirect card or
  54. firmware should be upgraded.  Contact HP for more information concerning
  55. upgrade or replacement availability.
  56.  
  57. For those products for which an upgrade or replacement is not readily
  58. available, it may be possible to tolerate or compensate for these
  59. problems when recognized.
  60.  
  61. If possible, limit all access to the JetDirect interface to the absolute
  62. minimum required.  Do not allow access to older JetDirect cards from
  63. outside of areas not under reasonable supervision or control.  While
  64. blocking access from outside networks might be a minimum consideration,
  65. some internal controls to limit "practical jokes" would also be advisable.
  66.  
  67. With the reasonable cost of PCs, it may be more cost effective to replace
  68. older JetDirect servers with tiny PC systems with full spooler 
  69. functionality and a more robust TCP/IP implementation.
  70.  
  71. Another option could be to hide older JetDirect cards or servers behind
  72. other systems with spoolers and strictly limit JetDirect card access to
  73. designated spooling systems.  Then force all other users to work through
  74. the designated spooler systems.  This may be a viable alternative where
  75. spooler systems already exist on the network with the older JetDirect
  76. cards.
  77.  
  78. Access to the web interface of the newer JetDirect cards should be
  79. limited, and access from outside of controlled networks should be 
  80. restricted.  While there are no specific vulnerabilities known in the
  81. JetDirect web servers at this time, unrestricted access could result in
  82. the leakage of sensitive configuration information about the printer.
  83. Passwords and community string names should be different from any other
  84. passwords or devices to protect other network facilities from inadvertent
  85. leakage of printer information.
  86.  
  87.  
  88. Detailed Specific Problems:
  89.  
  90. Older HP JetDirect cards and servers of various revisions have been
  91. demonstrated to fail under the following attacks:
  92.  
  93.  
  94. HP Display Hack (from sili@l0pht.com):
  95.  
  96. The HP Display Hack from L0pht allows someone to print arbitrary messages
  97. of up to 16 characters on HP printers with LCD panels.  When used just
  98. prior to one of the DoS attacks below, it's possible for an attacker to
  99. perform "social engineering" attacks where they post something like a
  100. telephone number (toll) on the display panel and then kill the interface.
  101. Some users could be tricked into placing expensive calls thinking they
  102. were calling for service as instructed by the printer.  This vulnerability
  103. and the exploit code has been posted to the BugTraq mailing list.
  104.  
  105. This is a feature of the printer control language and is present in newer
  106. versions of the JetDirect interfaces.
  107.  
  108.  
  109. Syn "Dripping":
  110.  
  111. Even though the JetDirect cards are not subject to syn flooding per se,
  112. due to the single threaded TCP/IP stack, even a single SYN packet can
  113. lock up the older interface for a significant period of time (tens of
  114. seconds to as much as a minute).  Thus the printer can be subjected to a
  115. denial of service attack by slowly dripping SYN packets with non-
  116. responding "from" addresses directed to the older JetDirect interface.  If
  117. this is directed at more than one of the JetDirect ports, the interface
  118. may lock up, as in the repeated rapid port scanning DoS described below.
  119.  
  120. This problem was uncovered at Internet Security Systems during the
  121. analysis of other JetDirect problems.
  122.  
  123. Newer multi-threaded versions of the JetDirect interfaces are not
  124. vulnerable to this problem.
  125.  
  126.  
  127. Repeated rapid port scanning:
  128.  
  129. Some scanning tools use parallel port scanning to improve scanning speed.
  130. Parallel scanning of multiple ports on the older JetDirect cards has a
  131. high probability of causing a complete lockup of the JetDirect network
  132. interface.  The fact that the DoS is not deterministic, and the failure
  133. rate is highly dependent on the timing and speed of the scan, indicates
  134. that this is a timing window or race condition in the TCP/IP stack on the
  135. older JetDirect.
  136.  
  137. Rapidly scanning ports 9099 and 9100 can very quickly cause this failure,
  138. and scanning 9099 and 9100 from a low order port such as port 20 (ftp
  139. data) could slip past some filtering firewalls.
  140.  
  141. This lockup is not accompanied by any particular LCD panel display, 
  142. permitting it to be used in combination with the HP Display Hack described
  143. above.
  144.  
  145. This problem was uncovered at Internet Security Systems during routine
  146. product testing.
  147.  
  148. This problem may still be present, but much more difficult to exploit, in
  149. newer versions of the JetDirect interfaces and newer JetDirect print
  150. servers.
  151.  
  152.  
  153. Land:
  154.  
  155. Land is a spoofed attack where a connection appears to be addressed to an
  156. address:port combination from that same address:port combination.  This
  157. attack causes some TCP/IP stacks to lock dead.  The older JetDirect TCP
  158. protocol stack is vulnerable to land attacks.  This attack can be blocked
  159. >from the outside by any reasonable anti-spoofing filters on firewalls or
  160. routers. This lockup is not accompanied by any particular LCD panel
  161. display, permitting it to be used in combination with the HP Display Hack
  162. above. This vulnerability has been discussed on the BugTraq mailing list.
  163.  
  164. This problem is not present in newer versions of the JetDirect interfaces.
  165.  
  166.  
  167. Nestea / Nestea2:
  168.  
  169. Nestea is a variation of the TearDrop-style fragmentation attacks.  By
  170. mishandling peculiar fragmentation reassemblies, certain TCP/IP stacks
  171. will fail.  Older JetDirect cards are vulnerable to this style of attack.
  172. Printers with LCD displays may display a service error code.  This attack
  173. can be blocked from the outside by any device which does full packet
  174. reassembly, such as a proxy-style firewall or a router with packet
  175. reassembly.
  176.  
  177. Because this problem generally results in a service or error code 
  178. displayed on the LCD panel, it is less likely to be used in conjunction 
  179. with the HP Display Hack described above.  This vulnerability has been
  180. discussed on the BugTraq mailing list.
  181.  
  182. This problem is not present in newer versions of the JetDirect interfaces.
  183.  
  184.  
  185. SNMP:
  186.  
  187. The default SNMP community names on the older JetDirect cards and servers
  188. allow for very rapid identification of vulnerable printers which may be
  189. subjected to these various attacks.  The community names on the JetDirect
  190. cards should be changed.
  191.  
  192. On some older versions of the JetDirect interfaces, changing the SNMP
  193. community names added the new community names, but the interface would
  194. still respond to the old community name.  While SNMP community names
  195. should not be considered secure, these older cards may give a false sense
  196. of protection or behavior.
  197.  
  198. The problem with not being able to disable the older community name is not
  199. present in newer versions of the JetDirect interfaces.
  200.  
  201.  
  202. Additional Information:
  203.  
  204. This vulnerability was primarily researched by Michael H. Warfield of the
  205. ISS X-Force. Our appreciation to the individuals at Hewlett Packard who
  206. assisted us in evaluating these problems and the current state of the
  207. JetDirect interface.
  208.  
  209. ________
  210.  
  211. Copyright (c) 1998 by Internet Security Systems, Inc.
  212.  
  213. Permission is hereby granted for the redistribution of this Alert Summary
  214. electronically.  It is not to be edited in any way without express consent
  215. of X-Force.  If you wish to reprint the whole or any part of this Alert
  216. Summary in any other medium excluding electronic medium, please email
  217. xforce@iss.net for permission.
  218.  
  219. Disclaimer
  220.  
  221. The information within this paper may change without notice. Use of this
  222. information constitutes acceptance for use in an AS IS condition.  There
  223. are NO warranties with regard to this information. In no event shall the
  224. author be liable for any damages whatsoever arising out of or in 
  225. connection with the use or spread of this information. Any use of this
  226. information is at the user's own risk.
  227.  
  228. X-Force PGP Key available at:  http://www.iss.net/xforce/sensitive.html
  229. as well as on MIT's PGP key server and PGP.com's key server.
  230.  
  231. X-Force Vulnerability and Threat Database: http://www.iss.net/xforce
  232.  
  233. Please send suggestions, updates, and comments to: X-Force
  234. <xforce@iss.net> of Internet Security Systems, Inc.
  235.  
  236.  
  237. -----BEGIN PGP SIGNATURE-----
  238. Version: 2.6.3a
  239. Charset: noconv
  240.  
  241. iQCVAwUBNnE1zDRfJiV99eG9AQG8/gP+KcbZ9pxlqe7LTohBbn/brLRwLt4Mmlmy
  242. 8/0ilu9nD9lFZXieuQh4ZjK2WXXWNaJfloUxCtNZeOBV/aKNb7N4zROsqAfZgiOJ
  243. 4XvnmeAep7f7it5ZUy9+cgpBQrfjRNduOFoAa2m/sqPwLX46dS4FppIK8NnYbkij
  244. 4TTJfIdEeCY=
  245. =WSju
  246. -----END PGP SIGNATURE-----
  247.  
  248.