2015年9月,惠普推出配備有嵌入式安全功能的企業級LaserJet打印機以及多功能一體機(MFP),并聲稱這些安全功能來自惠普筆記本電腦所使用的安全系統,可以有效應對黑客攻擊。
比如圖下這個名為《狼》的廣告,雷鋒網(公眾號:雷鋒網)的編輯就在好幾個安全會議上看到過。
這家科技巨頭聲稱它提供了“世界上最安全的打印”,在公司最近開展的一項市場營銷活動中,還顯示了其他供應商的打印機被黑客攻擊后,所造成的重大損害。
那主打“安全”概念的這幾款打印機,到底能否名副其實?
來自 FoxGlove Security 公司的研究人員決定一試究竟。
他們使用由德國魯爾大學波鴻分校的研究人員開發的 PRET(PRinter Exploitation Toolkit)程序,對2000美元的惠普 PageWide Enterprise 586dn多功能打印機以及售價約為500美元的 HP LaserJet Enterprise M553n 打印機進行了測試。
當 PRET 被引入時,研究人員的目標是找到一個可用于遠程代碼執行(RCE)的漏洞。為了達到這個目的,他們提取了打印機操作系統和固件,并對其進行了逆向工程。
雖然惠普已經實施了一些機制來防止篡改系統,但是研究人員設法繞過了這些系統并獲得了對文件的訪問權限。
這不僅允許他們可以訪問任何打印作業(包括PIN保護作業)的內容, PRET 還幫助研究人員發現了可用于操縱打印作業內容的漏洞,并將設備重置為出廠設置。
也就是說,他們不僅能知道你即將要打印的東西是什么,還能對你打印出的東西進行篡改!
目前,研究人員聲稱已經用它找到惠普,兄弟,利盟,戴爾,三星,柯尼卡,OKI和Kyocer 的20臺打印機的漏洞。該代碼執行漏洞于8月21日向惠普公布。
惠普宣稱,已于上周五對漏洞(CVE-2017-2750)進行了修復。該漏洞影響的打印機包括 HP LaserJet Enterprise,PageWide Enterprise,LaserJet Managed 和 OfficeJet Enterprise 等。
京公網安備 11010502049343號