الهجوم على الطابعات من… الخطوط

في هذه الأيام، نادرًا ما يجد المهاجمون الذين يستهدفون البنية التحتية للمؤسسات متعة الوصول إلى محطة عمل خالية من عميل EDR، لذا، باتت الأطراف ذات النوايا الخبيثة تركز على اختراق الخوادم أو مختلف الأجهزة المتخصصة المتصلة بالشبكة، والتي تمتلك امتيازات وصول واسعة نسبيًا لكنها تفتقر إلى حماية EDR، وغالبًا ما تفتقر حتى إلى إمكانيات التسجيل. وقد كتبنا بالتفصيل سابقًا عن أنواع الأجهزة المكتبية المعرضة للاختراق. وتركز الهجمات الواقعية في عام 2025 على أجهزة الشبكة (مثل بوابات VPN (الشبكة الافتراضية الخاصة) وجدران الحماية وأجهزة التوجيه)، وأنظمة المراقبة بالفيديو، والخوادم نفسها. لكن لا ينبغي إغفال الطابعات أيضًا، كما ذكّر الباحث المستقل بيتر غايسلر الجمهور في قمة محللي الأمان لعام 2025. وقد وصف ثغرة أمنية اكتشفها في طابعات Canon ( CVE-2024-12649 وCVSS 9.8)، والتي تسمح بتنفيذ تعليمات برمجية ضارة على هذه الأجهزة. والجانب الأكثر إثارة للاهتمام فيما يتعلق بهذه الثغرة هو أن استغلالها لا يتطلب سوى إرسال ملف يبدو بريئًا للطباعة.

فيروس حصان طروادة من نوع الخطوط: هجوم عبر الثغرة الأمنية CVE-2024-12649

يبدأ الهجوم بإرسال ملف بتنسيق XPS للطباعة. ويحتوي هذا التنسيق، الذي أنشأته مايكروسوفت، على جميع المتطلبات الأساسية لنجاح عملية طباعة المستند، وتُعد بديلاً لملفات PDF. ويعد ملف XPS في الأساس أرشيفًا مضغوطًا يحتوي على وصف تفصيلي للمستند، وجميع صوره، والخطوط المستخدمة. وتُخزن الخطوط عادةً بصيغة TTF (TrueType Font) الشائعة التي اخترعتها شركة أبل. والخط نفسه تحديدًا، وهو شيء لا يُنظر إليه عادةً على أنه خطير، هو الذي يحتوي على التعليمات البرمجية الضارة.

صُمم تنسيق TTF بهدف جعل الأحرف تبدو متطابقة على أي وسيط، والتحجيم بشكل صحيح لأي حجم، من أصغر حرف على الشاشة إلى أكبرها على ملصق مطبوع. ولتحقيق هذا الهدف، يمكن أن يكون لكل حرف تعليمات تنقيح خط مكتوبة له، تصف الفروق الدقيقة في عرض الأحرف ذات الأحجام الصغيرة. وتعد تعليمات التنقيح في الأساس أوامر لجهاز افتراضي صغير الحجم، يدعم، رغم بساطته، جميع اللبنات الأساسية للبرمجة: إدارة الذاكرة، والقفزات، والتفرع. ودرس غايسلر وزملاؤه كيفية تطبيق هذا الجهاز الافتراضي في طابعات Canon. واكتشفوا أن بعض تعليمات التنقيح الخاصة بتنسيق TTF يتم تنفيذها بطريقة غير آمنة. على سبيل المثال، لا تتحقق أوامر الجهاز الافتراضي التي تدير المكدس من وجود تجاوز.

نتيجة لذلك، نجحوا في إنشاء خط ضار. وعندما تتم طباعة مستند يحتوي عليه على طابعات معينة من Canon، فإنه يتسبب في تجاوز سعة المخزن المؤقت للمكدس، ويكتب البيانات خارج المخازن المؤقتة للجهاز الافتراضي، وينجز في النهاية تنفيذ التعليمات البرمجية على معالج الطابعة. ويتم تنفيذ الهجوم بأكمله عبر ملف TTF؛ في حين أن باقي محتوى ملف XPS يكون سليمًا. وفي الواقع، فإن اكتشاف التعليمات البرمجية الضارة حتى داخل ملف TTF أمر صعب للغاية: التعليمات البرمجية ليست طويلة جدًا، ويتكون الجزء الأول منها من تعليمات الآلة الافتراضية لتنسيق TTF، ويعمل الجزء الثاني على نظام تشغيل Canon الغريب والخاص (DryOS).

تجدر الإشارة إلى أن Canon ركّزت في السنوات الأخيرة على تأمين البرامج الثابتة للطابعات. على سبيل المثال، تستخدم سجلات DACR وعلامات NX (عدم التنفيذ) التي تدعمها معالجات ARM للحدّ من القدرة على تعديل رمز النظام أو تنفيذ التعليمات البرمجية في أجزاء الذاكرة المخصصة لتخزين البيانات فقط. وعلى الرغم من هذه الجهود، لا تسمح بنية نظام DryOS الشاملة بالتنفيذ الفعال لآليات حماية الذاكرة، مثل ASLR أو Stack canary، التي تعدّ سمة نموذجية لأنظمة التشغيل الحديثة الأكبر. وهذا هو السبب في أن الباحثين يجدون أحيانًا طرقًا لتجاوز الحماية الموجودة. على سبيل المثال، في الهجوم الذي نتحدث عنه، تم تنفيذ التعليمات البرمجية الضارة بنجاح من خلال وضعها، عبر خدعة TTF ، في مخزن مؤقت للذاكرة مخصص لبروتوكول طباعة مختلف، هو IPP.

سيناريو استغلال واقعي

تؤكد شركة Canon في نشرتها التي تصف الثغرة الأمنية أنه يمكن استغلال الثغرة الأمنية عن بُعد إذا كان من الممكن الوصول إلى الطابعة عبر الإنترنت. ونتيجة لذلك، تقترح الشركة تهيئة جدار حماية بحيث لا يمكن استخدام الطابعة إلا من شبكة المكتب الداخلية. وعلى الرغم من أن هذه نصيحة جيدة، ويجب بالفعل إزالة الطابعة من الوصول العام، إلا أن هذا ليس سيناريو الهجوم الوحيد.

أشار بيتر غايسلر في تقريره إلى سيناريو هجين وأكثر واقعية، يرسل فيهما المهاجم مرفقًا إلى موظف عبر البريد الإلكتروني أو الرسائل الفورية، ويقترح عليه، تحت ذريعة أو أخرى، طباعة هذا المرفق. وإذا أرسل الضحية المستند للطباعة – داخل شبكة المؤسسة الداخلية ودون أي انكشاف للإنترنت – فسيتم تنفيذ التعليمات البرمجية الضارة على الطابعة. وبطبيعة الحال، ستكون قدرات البرامج الضارة محدودة عند تشغيلها على الطابعة مقارنة ببرامج ضارة تُصيب جهاز كمبيوتر كاملاً. ومع ذلك، يمكنها، على سبيل المثال، إنشاء نفق عن طريق تأسيس اتصال بخادم المهاجم – مما يسمح للمهاجمين بـاستهداف أجهزة الكمبيوتر الأخرى في المؤسسة. ويمكن أن يؤدي استخدام محتمل آخر لهذه البرامج الضارة على الطابعة إلى إعادة توجيه جميع المعلومات التي تُطبع في الشركة مباشرةً إلى خادم المهاجم. وفي مؤسسات معينة، مثل مكاتب المحاماة، قد يؤدي هذا إلى اختراق حرج للبيانات.

كيفية التصدي لتهديدات الطابعات هذه

يمكن القضاء على الثغرة الأمنية CVE-2024-12649 والعديد من العيوب وثيقة الصلة بها من خلال تثبيت تحديث البرامج الثابتة للطابعة، وفقًا لتعليمات Canon. وللأسف، تفتقر العديد من المؤسسات، حتى تلك التي تقوم بتحديث برامج أجهزة الكمبيوتر والخوادم بانتظام، إلى عملية منهجية لتحديث البرامج الثابتة للطابعات. ويجب تطبيق هذه العملية على جميع المعدات المتصلة بشبكة الكمبيوتر.

ومع ذلك، يؤكد الباحثون الأمنيون أن هناك العديد من نواقل الهجوم التي تستهدف المعدات المتخصصة. لذلك، ليس هناك ما يضمن أن المهاجمين لن يسلحوا أنفسهم غدًا باستغلال مماثل غير معروف لدى مصنعي الطابعات أو عملائهم. ولتقليل مخاطر الاستغلال:

• قُمْ بتجزئة الشبكة، عن طريق تقييد قدرة الطابعة على إنشاء اتصالات صادرة وقبول الاتصالات الواردة من الأجهزة والمستخدمين غير المصرح لهم بالطباعة.
• قم بتعطيل كل الخدمات غير المستخدمة على الطابعة.
• قم بتعيين كلمة مرور مسؤول فريدة ومعقدة على كل طابعة / جهاز.
• طبق نظام أمان شامل داخل المؤسسة – يشمل تثبيت نظام EDR على جميع أجهزة الكمبيوتر والخوادم، وجدار حماية حديث، ومراقبة شاملة للشبكة تعتمد على نظام إدارة معلومات الأمان والأحداث (SIEM).