Onderzoekers van de Columbia University stellen dat hackers op eenvoudige wijze, ongemerkt de firmware van LaserJet-printers van HP kunnen updaten. HP, dat de zaak onderzoekt, ontkent vooralsnog dat het om een grootschalig probleem gaat.
Volgens de onderzoekers controleren LaserJet-printers die voor 2009 op de markt kwamen niet of een firmware-update voorzien is van een digitale handtekening. Omdat dergelijke printers vaak via ethernet aan een bedrijfsnetwerk zijn gekoppeld, kan de LaserJet-firmware worden geüpdatet via printopdrachten die gestart worden op Linux- en Mac-computers. Hierbij controleert de software van de printer niet of het firmwarebestand is voorzien van een handtekening om de echtheid te garanderen.
Het gebrek aan controle bij het firmware-updateproces, dat slechts 30 seconden duurt, zou grote veiligheidsrisico's opleveren, stellen de onderzoekers. Zo stuurden zij een opdracht naar een LaserJet-printer om een belastingformulier te printen. De printer, die van gemanipuleerde firmware was voorzien, stuurde het document door naar een andere computer. Deze scande het document en wist uit het formulier een social security-nummer te destilleren. Dit werd vervolgens op een Twitter-account gepubliceerd.
Kwaadwillenden zouden HP-LaserJets ook kunnen saboteren door de fuser, die gebruikt wordt om de inkt op het papier te drogen, continu te laten opwarmen, waardoor de printer in brand kan vliegen. In de praktijk konden de onderzoekers de LaserJet echter niet laten ontbranden, omdat een beveiligingssysteem tegen oververhitting de printer uitschakelde.
HP, dat samen met de onderzoekers het probleem zou onderzoeken, stelt in een reactie dat er geen risico is dat oudere LaserJet-modellen in brand vliegen door gesaboteerde firmware, omdat het beveiligingssysteem tegen oververhitting onafhankelijk van de firmware werkt en op elke laserprinter van het merk aanwezig is. Ook stelt de printerfabrikant dat de meeste kwetsbare LaserJets bij bedrijven achter een firewall staan, waardoor het gevaar van een aanval vanaf het internet beperkt is, en dat nog niet is bewezen dat gemanipuleerde printopdrachten een printer kunnen herprogrammeren. Bovendien kunnen systeembeheerders de remote-installatiefunctie op de printer uitschakelen.
De onderzoekers stellen echter dat HP het probleem bagatelliseert. Zo zouden zij bij een snelle scan op het internet veertigduizend kwetsbare LaserJets hebben gevonden. Bovendien kan het lastig worden om een effectieve oplossing voor de kwetsbaarheid te vinden. Zo kan een gemanipuleerde firmware-update de deur voor toekomstige updates eenvoudigweg sluiten. Bovendien zou het uiterst lastig zijn om te detecteren of een LaserJet met gemanipuleerde firmware is besmet. Ze stellen zelfs dat bedrijven misschien geen andere keuze hebben dan LaserJets die geen controle op de firmware uitoefenen zo snel mogelijk uit te faseren. Daarnaast sluiten zij niet uit dat printers van andere fabrikanten soortgelijke kwetsbaarheden hebben.
:strip_exif()/i/2002729896.jpeg?f=fpa)
:strip_exif()/i/1295427894.gif?f=fpa)
:strip_exif()/u/292520/crop5898b460d9059_cropped.gif?f=community){kind=small}
/u/13831/icon.png?f=community){kind=icon}
:strip_icc():strip_exif()/u/154915/crop56f403574034a_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/102705/ChuteBoxeLogo2.gif?f=community){kind=small}
/u/189518/crop6051d3c17b2f4_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/3572/mashell%2520avatar_klein.jpg?f=community){kind=avatar}
/u/79483/BlackIntel_Logo2-3-64.png?f=community){kind=logo}
:strip_icc():strip_exif()/u/56158/icoon-sheep.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/85689/crop65fb0c2ca2763_cropped.jpg?f=community){kind=small}
/u/36103/avatar_60.png?f=community){kind=avatar}
