2015年9月,惠普推出配備有嵌入式安全功能的企業(yè)級LaserJet打印機以及多功能一體機(MFP),并聲稱這些安全功能來自惠普筆記本電腦所使用的安全系統(tǒng),可以有效應(yīng)對黑客攻擊。
比如圖下這個名為《狼》的廣告,雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))的編輯就在好幾個安全會議上看到過。
這家科技巨頭聲稱它提供了“世界上最安全的打印”,在公司最近開展的一項市場營銷活動中,還顯示了其他供應(yīng)商的打印機被黑客攻擊后,所造成的重大損害。
那主打“安全”概念的這幾款打印機,到底能否名副其實?
來自 FoxGlove Security 公司的研究人員決定一試究竟。
他們使用由德國魯爾大學波鴻分校的研究人員開發(fā)的 PRET(PRinter Exploitation Toolkit)程序,對2000美元的惠普 PageWide Enterprise 586dn多功能打印機以及售價約為500美元的 HP LaserJet Enterprise M553n 打印機進行了測試。
當 PRET 被引入時,研究人員的目標是找到一個可用于遠程代碼執(zhí)行(RCE)的漏洞。為了達到這個目的,他們提取了打印機操作系統(tǒng)和固件,并對其進行了逆向工程。
雖然惠普已經(jīng)實施了一些機制來防止篡改系統(tǒng),但是研究人員設(shè)法繞過了這些系統(tǒng)并獲得了對文件的訪問權(quán)限。
這不僅允許他們可以訪問任何打印作業(yè)(包括PIN保護作業(yè))的內(nèi)容, PRET 還幫助研究人員發(fā)現(xiàn)了可用于操縱打印作業(yè)內(nèi)容的漏洞,并將設(shè)備重置為出廠設(shè)置。
也就是說,他們不僅能知道你即將要打印的東西是什么,還能對你打印出的東西進行篡改!
目前,研究人員聲稱已經(jīng)用它找到惠普,兄弟,利盟,戴爾,三星,柯尼卡,OKI和Kyocer 的20臺打印機的漏洞。該代碼執(zhí)行漏洞于8月21日向惠普公布。
惠普宣稱,已于上周五對漏洞(CVE-2017-2750)進行了修復(fù)。該漏洞影響的打印機包括 HP LaserJet Enterprise,PageWide Enterprise,LaserJet Managed 和 OfficeJet Enterprise 等。