Yazıcılar saldırıya uğradı… Hem de yazı tipleri tarafından

Günümüzde, bir kuruluşun altyapısını araştıran saldırganlar, EDR ajanı bulunmayan bir iş istasyonuna nadiren rastlamaktadır. Bu nedenle, kötü niyetli aktörler, oldukça geniş erişim ayrıcalıklarına sahiptirler ancak EDR koruması ve hatta çoğu zaman günlük kayıt yeteneklerinden yoksun olan sunucuları veya ağa bağlı çeşitli özel cihazları ele geçirmeye odaklanmaktadırlar. Daha önce, savunmasız ofis cihazlarının türleri hakkında ayrıntılı bir yazı yayınlamıştık. 2025 yılında gerçek dünyada gerçekleşen saldırılar; ağ cihazları (VPN ağ geçitleri, güvenlik duvarları ve yönlendiriciler gibi), video gözetim sistemleri ve sunucuların kendilerine odaklanmaktadır. Ancak, bağımsız araştırmacı Peter Geissler’in Security Analyst Summit 2025‘te dinleyicilere hatırlattığı gibi, yazıcılar da göz ardı edilmemelidir. Geissler konuşmasında, Canon yazıcılarda bulduğu bir güvenlik açığını (CVE-2024-12649, CVSS 9.8) açıkladı. Bu güvenlik açığı, bu cihazlarda kötü amaçlı kodların çalıştırılmasına olanak tanıyor. Bu güvenlik açığıyla ilgili en ilginç yönü ise, onu istismar etmek için sadece masum görünümlü bir dosyayı yazdırmaya göndermenin yeterli olması.

Trojan Tipi Yazı Tipi: CVE-2024-12649 aracılığıyla yapılan saldırı

Saldırı, bir XPS dosyasının yazdırılmasıyla başlar. Microsoft tarafından oluşturulan bu format, başarılı belge yazdırma için gerekli tüm önkoşulları içerir ve PDF’ye alternatif olarak kullanılır. XPS, esasen belgenin ayrıntılar açıklamasını, tüm resimlerini ve kullanılan yazı tiplerini içeren bir ZIP arşividir. Yazı tipleri genellikle Apple tarafından icat edilen popüler TTF (TrueType Font) formatında saklanır. Kötü amaçlı kodu içeren şey, genellikle tehlikeli olarak algılanmayan yazı tipinin kendisidir.

TTF formatı, harflerin her türlü ortamda aynı görünmesini ve ekran üzerindeki en küçük karakterden basılı poster üzerindeki en büyük karaktere kadar her boyuta doğru şekilde ölçeklenmesini sağlamak için tasarlanmıştır. Bu hedefe ulaşmak için, her harf için küçük boyutlu harflerin görüntülenmesindeki nüansları açıklayan yazı tipi ipucu talimatları yazılabilir. İpucu talimatları, basitliğine rağmen programlamanın tüm temel yapı taşlarını (bellek yönetimi, atlamalar ve dallanma) destekleyen kompakt bir sanal makine için komutlardır. Geissler ve arkadaşları, bu sanal makinenin Canon yazıcılarda nasıl uygulandığını incelediler ve bazı TTF ipucu talimatlarının güvenli olmayan bir şekilde yürütüldüğünü keşfettiler. Örneğin, yığını yöneten sanal makine komutları taşma olup olmadığını kontrol etmez.

Sonuç olarak, kötü amaçlı bir yazı tipi oluşturmayı başardılar. Bunu içeren bir belge belirli Canon yazıcılarda yazdırıldığında, yığın arabellek taşmasına neden olur, sanal makinenin arabelleklerinin ötesine veri yazar ve nihayetinde yazıcının işlemcisinde kod yürütülmesini sağlar. Saldırının tamamı TTF dosyası aracılığıyla gerçekleştirilir; XPS dosyasının geri kalan içeriği zararsızdır. Aslında, TTF dosyasının içindeki kötü amaçlı kodu tespit etmek oldukça zordur: Kod çok uzun değildir, ilk kısmı TTF sanal makine komutlarından oluşur ve ikinci kısmı egzotik, tescilli Canon işletim sistemi (DryOS) üzerinde çalışır.

Son yıllarda Canon’un yazıcı aygıt yazılımının güvenliğini sağlamaya odaklandığına dikkat edilmelidir. Örneğin, sistem kodunu değiştirme veya yalnızca veri depolama amaçlı bellek parçalarında kod yürütme yeteneğini sınırlamak için ARM işlemcilerde desteklenen DACR kayıtları ve NX (yürütme engelleme) bayraklarını kullanır. Bu çabalara rağmen, DryOS mimarisi genel olarak, daha büyük modern işletim sistemlerinde yaygın olarak kullanılan ASLR veya stack canary gibi bellek koruma mekanizmalarının etkili bir şekilde uygulanmasına izin vermemektedir. Bu nedenle araştırmacılar zaman zaman mevcut korumayı atlatmanın yollarını bulurlar. Örneğin, bahsettiğimiz saldırıda, kötü amaçlı kod, TTF hilesi kullanılarak farklı bir yazdırma protokolü olan IPP için tasarlanmış bir bellek tamponuna yerleştirilerek başarıyla çalıştırıldı.

Gerçekçi istismar senaryosu

Canon, bu güvenlik açığını açıklayan bülteninde, yazıcıya internet üzerinden erişilebiliyorsa, bu güvenlik açığının uzaktan istismar edilebileceğini belirtmekte ve bu nedenle yazıcının yalnızca iç ofis ağından kullanılabilmesi için bir güvenlik duvarı yapılandırılmasını önermektedir. Bu iyi bir tavsiyedir ve yazıcı gerçekten de kamu erişiminden kaldırılmalıdır, ancak bu tek saldırı senaryosu değildir.

Peter Geissler raporunda, saldırganın bir çalışana e-posta veya mesajlaşma uygulaması aracılığıyla bir ek gönderdiği ve çeşitli bahanelerle bunu yazdırmasını önerdiği çok daha gerçekçi, karma bir senaryoya dikkat çekti. Kurban belgeyi yazdırmak için gönderirse (kurum içi ağ içinde ve internet bağlantısı olmadan), kötü amaçlı kod yazıcıda çalıştırılır. Doğal olarak, yazıcıda çalışan kötü amaçlı yazılımın yetenekleri, tam donanımlı bir bilgisayara bulaşan kötü amaçlı yazılımlara kıyasla sınırlı olacaktır. Ancak, örneğin saldırganın sunucusuna bağlantı kurarak bir tünel oluşturabilir ve saldırganların kuruluş içindeki diğer bilgisayarları hedef almasına olanak tanıyabilir. Bu kötü amaçlı yazılımın yazıcıda kullanılmasının bir başka olası senaryosu, şirkette yazdırılan tüm bilgilerin doğrudan saldırganın sunucusuna iletilmesine neden olabilir. Hukuk firmaları gibi belirli kuruluşlarda bu durum kritik bir veri ihlaline yol açabilir.

Bu yazıcı tehdidini nasıl önleyebilirim?

CVE-2024-12649 güvenlik açığı ve bununla yakından ilişkili birkaç kusur, Canon’un talimatlarına göre yazıcı cihaz yazılımı güncellemesini yükleyerek ortadan kaldırılabilir. Ne yazık ki, birçok kuruluş (bilgisayar ve sunuculardaki yazılımları özenle güncelleyenler bile) yazıcı aygıt yazılımını güncellemek için sistematik bir sürece sahip değildir. Bu işlem, bilgisayar ağına bağlı tüm ekipmanlar için uygulanmalıdır.

Ancak güvenlik araştırmacıları, özel ekipmanları hedef alan çok sayıda saldırı vektörü olduğunu vurguluyor. Bu nedenle saldırganların yarın, yazıcı üreticileri veya müşterileri tarafından bilinmeyen benzer bir istismar ile kendilerini silahlandırmayacaklarının garantisi yoktur. Sömürü riskini en aza indirmek için:

• Ağı bölümlere ayırın; yani yazıcının giden bağlantılar kurma ve yazdırma yetkisi olmayan cihazlardan ve kullanıcılardan bağlantıları kabul etme yeteneğini sınırlayın.
• Yazıcıda kullanılmayan tüm hizmetleri devre dışı bırakın.
• Her yazıcı/cihazda benzersiz ve karmaşık bir yönetici parolası belirleyin.
• Kuruluş içinde kapsamlı bir güvenlik sistemi uygulayın. Bu sistem, tüm bilgisayarlara ve sunuculara yüklenen EDR, modern bir güvenlik duvarı ve SIEM sistemine dayalı kapsamlı ağ izlemeyi içermelidir.