Drukarki laserowe HP podatne na atak
-
- Antoni Steliński,
- 30.11.2011, godz. 11:45
W zabezpieczeniach drukarek HP z serii LaserJet znaleziono błąd, który umożliwia zdalnemu "napastnikowi" przejęcie zdalnej kontroli nad urządzeniem, uzyskanie dostępu do danych, a nawet... jego fizyczne uszkodzenie (poprzez spowodowanie przegrzania).
HP zareagował oświadczeniem, w którym rewelacje naukowców nazwano "nietrafionymi i rozdmuchanymi". Firma przyznała w nim, że problem z zabezpieczeniami drukarek istnieje, ale jednocześnie podkreśliła, że jak do tej pory żaden klient nigdy nie zgłosił próby wykorzystania owej luki do zaatakowania go.
Zobacz również:
- Nowe drukarki MFP Sharp - tanie i wydajne drukowanie dla MŚP
- HP – oferta wsparcia środowiska pracy w jednym miejscu
- Luka w zabezpieczeniach WordPress
Przedstawiciele HP zdecydowanie zaprzeczyli też informacji często powtarzanej przez media - jakoby ów błąd umożliwiał wywołanie pożaru urządzenia (poprzez zmodyfikowanie parametrów drukarek i spowodowanie przegrzania). Według nich wszystkie modele z serii LaserJet mają wbudowane zabezpieczenie przed przegrzaniem, w związku z czym wywołanie pożaru nie jest możliwe.
Pośrednio potwierdził to zresztą jeden z odkrywców luki - podczas testów Salvatore Stolfo próbował doprowadzić do zapalenia się urządzenia poprzez zwiększanie temperatury tonera. W pewnym momencie umieszczona w drukarce kartka faktycznie zaczęła się robić brązowa i lekko dymić, ale natychmiast zadziałał mechanizm zabezpieczający i urządzenie zostało wyłączone (ostatecznie więc płomień się nie pojawił).
Co ważne, zdaniem specjalistów problem może dotyczyć również drukarek innych producentów - niewykluczone, że są wśród nich urządzenia, które nie są wyposażone w zabezpieczenie przed przegrzaniem.
Problem wykryty przez Stolfo oraz Cui związany jest z funkcją zdalnego aktualizowania firmware'u drukarek HP (RFU - Remote Firmware Update). Specjaliści wykazali, że zastosowano w niej zbyt słaby mechanizm autoryzacji, co potencjalnie umożliwia "napastnikowi" dostarczenie do drukarki fałszywej aktualizacji. Drukarki nie wymagają cyfrowego podpisania aktualizacji - co sprawia, że każdy, kto będzie dysponował odpowiednimi umiejętnościami i narzędziami, jest w stanie zmodyfikować lub nawet wymazać ich system operacyjny. Można to wykorzystać m.in. do zablokowania urządzenia, kradzieży z niego danych oraz modyfikacji ustawień.
Specjaliści przetestowali trzy popularne urządzenia z serii LaserJet (nie podano nazw modeli) - we wszystkich występował ten sam problem. Z analiz wynika, że nieautoryzowane oprogramowanie można dostarczyć do drukarki np. w formie odpowiednio spreparowanego polecenia drukowania. W większości przypadków wystarczy, że drukarka będzie podłączona do sieci z dostępem do Internetu.
Przedstawiciele HP poinformowali, że firma pracuje już nad aktualizacją rozwiązującą problem.
Stanowisko HP w sprawie nieprecyzyjnych informacji dotyczących potencjalnych luk w zabezpieczeniach niektórych drukarek HP LaserJet
Warszawa, 30 listopada 2011 - W dniu dzisiejszym pojawiły się nieprecyzyjne informacje dotyczące potencjalnych luk w zabezpieczeniach niektórych drukarek HP LaserJet. Żaden z klientów nie zgłosił przypadku nieautoryzowanego dostępu. Spekulacje dotyczące możliwości samozapłonu urządzenia drukującego w związku ze zmianą w oprogramowaniu sprzętowym są fałszywe.
Drukarki HP LaserJet wyposażone są w rozwiązanie "thermal breaker", pełniące funkcję termicznego wyłącznika instalacyjnego, którego zadaniem jest zapobieganie przegrzaniu. Zmiany w oprogramowaniu sprzętowym lub wskazywana w doniesieniach prasowych luka w zabezpieczeniach nie mogą mieć wpływu na jego działanie.
HP faktycznie stwierdziło występowanie potencjalnej luki w zabezpieczeniach niektórych modeli drukarek HP LaserJet, ale żaden z klientów nie zgłosił przypadku nieupoważnionego dostępu. Luka ta dotyczy wybranych modeli HP LaserJet, które podłączone są do publicznej sieci internetowej bez firewalla. W sieciach prywatnych, niektóre drukarki mogą być zagrożone, jeśli zaufany użytkownik sieci podejmie celową próbę modyfikacji oprogramowania sprzętowego. W przypadku systemów Linux lub Mac, może wystąpić sytuacja, gdzie specjalnie sformatowane, nieprawidłowe zlecenie wydruku uruchomi aktualizację oprogramowania sprzętowego.
HP przygotowuje aktualizację oprogramowania sprzętowego, która wyeliminuje ten problem. Firma będzie aktywnie informować o kolejnych krokach klientów i partnerów, którzy mogą być dotknięci tą sytuacją.
Tymczasem HP ponownie zachęca do przestrzegania dobrych praktyk z zakresu zabezpieczania urządzeń, czyli umieszczania drukarek za firewallem, a także, tam, gdzie to możliwe, do wyłączenia funkcji zdalnego wczytywania aktualizacji oprogramowania sprzętowego na narażonych drukarkach.
Wszystkie urządzenia pracujące w sieci potencjalnie są narażone na problemy z bezpieczeństwem. HP traktuje te zagrożenia bardzo poważnie, niezależnie od tego, jak małe może być ryzyko. To właśnie nieustająca koncentracja na klientach i kultura inżynieryjnej doskonałości definiują HP i markę LaserJet.
Dodatkowe informacje dostępne są na stronie www.hp.com/go/secureprinting.
