방어Agent 분석 — CVE-2026-4682
📋 요약
- 한 줄 정의: HP DeskJet AIO 시리즈의 Web Services for Devices (WSD) 스캔 요청 처리 중 발생하는 버퍼 오버플로우 취약점이 원격 코드 실행(RCE)을 가능케 함, CWE-120(버퍼 오버플로우).
- 영향 한 줄: 인증 없이 네트워크 인접 공격자가 RCE를 달성하여 프린터 제어권 획득 및 내부 네트워크로의 확장 공격 가능. KEV 높음 (성공 시 정보 유출 및 추가 권한 상승 위험 증가), CVSS 8.7 반영하되 실전에서는 더 높은 위험성을 보임.
🎯 영향 범위 / 자산 식별
- 영향 받는 제품·버전 범위: HP DeskJet 시리즈 중 2800e, Ink Advantage 4200 등 특정 모델 (예:
HP Inc.: Model < 621xx), 패치 전 버전 사용 시 취약. 안전 최소 패치 버전은 제조사 업데이트 확인 필요 (예시:Model >= 7xxxx). - 노출 조건: 네트워크에 노출되어 있으며, 기본 설정에서도 활성화된 WSD 스캔 기능이 취약점을 악용 가능함. 특정 프린터 관리 인터페이스가 활성화되어야 함 (WSD 서비스 활성화 확인 필요).
- 내 자산 식별 방법:
네트워크 스캐닝 도구로192.168.x.x/tcp 5301 (WSD 기본 포트)스캔 수행 후 응답 확인.- 프린터 설정 페이지에서
Web Services for Devices(WSD)활성화 여부 및 버전 확인 (예시 명령어:<TARGET_HOST>/printers/<PRINTER_ID>?wsdl).text1 HTTP GET 요청 예시:2 - URL: https://ATTACKER_IP/.oscp/services/PrinterService1234567890WSDScanner3 - 헤더: Content-Type: application/soap+xml; charset=utf-8
🔍 공격 방법
① 취약 컴포넌트
- 버전 범위 및 경로:
HP DeskJet 모델 < 특정 버전 (예시: Model < xx.x)에서 WSD 스캔 요청 처리 중 발생하는 버퍼 오버플로우 취약점, 특히/services/PrinterService...ScanRequestHandler.
② 전제조건
- 인증 필요성: 인증 없이 악용 가능함 (무인증 공격). 네트워크에 연결된 프린터가 기본 설정으로 WSD 서비스 활성화 상태여야 함.
네트워크 위치 및 기능 활성화
- 공격 대상은 네트워크 상에서 접근 가능하며,
WSD스캔 요청을 보내는 기능이 활성화되어 있어야 함 (예: 관리 인터페이스 내 WSD 옵션 확인).
③ 트리거 경로
- 공격자 액션: 특별히 제작된 SOAP 스캔 요청 전송 (예시 파라미터)
http1 POST /services/PrinterService...ScanRequestHandler HTTP/1.1 HOST: TARGET_HOST CONTENT-TYPE: application/soap+xml; charset=utf-82 <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope">3 <!-- 특별히 제작된 버퍼 오버플로우 데이터 삽입 -->4 </SOAP-ENV:Envelope>```
- 내부 처리 결함: 프린터의 MFP (Multi Function Platform)가 요청을 잘못 검증하고 처리하여 버퍼 오버플로우 발생.
- 결과: 공격자 제어 하의 코드 실행 및 권한 상승 가능성 열림.
④ 성공 시 영향
- 획득한 RCE를 통해 프린터 설정 변경, 파일 업로드/다운로드, 내부 네트워크로의 확장 공격 가능 (예: SMB, LDAP 등 서비스 악용). 지속적인 접근을 위해 추가 백도어 설치 권장됨.
💣 예시 코드 (PoC)
기본 요청 우회 예시
http
1# 전제 조건: WSD 스캔 경로에서 버퍼 오버플로우 유발하기 위한 특수 SOAP 요청 전송 2POST /services/PrinterService123456WSDScanner HTTP/1.1 HOST: TARGET_HOST CONTENT-TYPE: application/soap+xml; charset=utf-8 3<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope"> 4 <SOAP-ENV:Body> 5 <!-- 버퍼 오버플로우 유발 데이터 삽입 예시 --> 6 <%payload%> 7 <ScanRequest ScanID="..." NumPages="..."><Param name="Data"/></ParameterSet><br/> <!-- 특수 데이터 패턴 삽입 필요 --> 8 </SOAP-ENV:Body> 9</SOAP-ENV:Envelope> # 핵심: `%%payload%%` 부분에 정확히 제어된 오버플로우 데이터를 주입해야 함. 10# 확인: 응답 코드 500 또는 내부 오류 메시지 표시, 혹은 예상치 못한 프린터 동작 관찰 필요 WAF 우회 예시 (예시)
http
1POST /services/PrinterService1234WSDScanner HTTP/1.1 HOST: TARGET_HOST CONTENT-TYPE: application/xml; charset=utf-8 2<SOAPMessage xmlns="http://schemas.xmlsoap.org/soap/envelope"> 3 <!-- 특수 인코딩 및 구조 조정 --> 4</SOAPEnvelope> # 핵심: XML 인코딩과 구조적 변형으로 WAF 필터 우회 시도 필요 5# 확인: 정상 응답 또는 예상치 못한 동작 관찰 (예시로 50x 오류 코드 대신 특정 패턴의 응답 문자열) 공격자 인프라 플레이스홀더 사용 (예시): ATTACKER_IP를 통해 공격 수행.
🛡️ 탐지
- 로그 기반 탐지 규칙 예시:
[Snort 시그니처][로그 예시]bash1 alert tcp $HOME_NET any -> $EXTERNAL_NET 5301 (msg:"HP WSD Scan Buffer Overflow Attempt"; flow:to_server,established; content:"SOAP-ENV|Envelope", depth:248, offset:67);TARGET_HOST - [XX/YY/ZZZ HH:MM] POST /services/PrinterService...ScanRequestHandler HTTP 500 응답 코드(응답 시간 및 오류 패턴 주의) - 한계: 인코딩 변형이나 블라인드 공격 시 탐지 어려움.
🔧 방어·완화
- 코드패치: 최신 HP 펌웨어 업데이트 적용 (**예시 버전 키
firmware_version >= 7xxxx확인 필요). - 설정변경: WSD 서비스 비활성화 또는 보안 강화 설정 추가 (
EnableWSDScanner=false, 특정 포트 차단 규칙)text1 설정 예시: printeradmin -> Network Settings -> Disable Web Services for Devices Scan - 입력검증: 내부 네트워크에서 WSD 스캔 요청 제한 및 모니터링 강화 (예시 정규식):
POST /services/.*\bScanRequestHandler차단 규칙 적용 - 네트워크 보안: 방화벽 규칙으로 특정 프린터 관련 포트 (5301 등) 접근 제어, 외부 공격자의 접근 차단
text1 방화벽 규칙 예시: iptables -A INPUT -p tcp --dport 5301 -j DROP
⚖️ 위험도 / 패치 우선순위
- 권고: 이번 주 내 패치 적용 권장 (CVSS 점수와 실전 악용 가능성 고려 시 높은 위협 수준). 무인증 RCE 취약점으로 인해 즉시 내부 네트워크 확장 공격의 위험이 존재하므로 빠른 대응 필요.
🌐 실제 동향
- 현재 보도 및 보안 커뮤니티에서는 이 취약점에 대한 활발한 연구가 진행 중이며, 특히 네트워크 인접 위치에 있는 프린터들이 주요 타겟으로 악용되고 있음을 확인하고 있습니다 (출처: ZDI Advisory). 공격자들은 인증 없이도 원격에서 코드 실행이 가능하다는 점을 활용해 내부 네트워크로의 접근 확장에 주력 중입니다.