HP 'beteugelt' ongeoorloofde toegang tot Laserjet-printers

HP heeft nieuwe firmware voor zijn Laserjet-printers uitgebracht die ongeoorloofde toegang tot de apparaten moet voorkomen. De update moet het probleem 'beteugelen', maar onduidelijk is of het lek definitief gedicht wordt.

Eind november maakten beveiligingsonderzoekers bekend dat Laserjet-printers van HP een kwetsbaarheid bevatten. Kwaadwillenden zouden ongemerkt de firmware van LaserJet-printers van HP kunnen updaten, waardoor ze printopdrachten konden manipuleren en de printer zouden kunnen herprogrammeren.

HP bagatelliseerde het probleem maar heeft nu toch nieuwe firmware uitgebracht. De update moet het risico op ongeoorloofde toegang indammen, waarbij de fabrikant het woord 'mitigate' gebruikt. Zoals CNet ook aangeeft is hiermee onduidelijk of het lek ook definitief gedicht is. Bij HP zijn in ieder geval geen gevallen bekend waarin consumenten te maken kregen met ongeoorloofde toegang.

Aanvankelijk verschenen verhalen in de media dat via de kwetsbaarheid printers in brand gezet konden worden, maar volgens HP was dat onzin omdat een beveiligingssysteem tegen oververhitting onafhankelijk van de firmware werkt en op elke laserprinter van het merk aanwezig zou zijn.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 24-12-2011 11:3739

24-12-2011 • 11:37

39 Linkedin

Lees meer

HP breidt beveiligingsportfolio voor grote bedrijven uit Nieuws van 10 september 2012
'HP LaserJet-printers kwetsbaar voor externe aanvallen' Nieuws van 30 november 2011
Printers en scanners Netwerk en systeembeheer Printers HP

Reacties (39)

-Moderatie-faq
39
37
28
2
0
1
Wijzig sortering
Kartmans1
24 december 2011 11:41
Hoe zou deze toegang verkregen kunnen worden dan? Dat kan dan toch alleen gebeuren wanneer iemand op het zelfde netwerk aanwezig zou zijn? Want meestal heeft men thuis zijn netwerk gesloten, waardoor kwaadwillenden alleen bij de printer zouden kunnen komen, wanneer zij ook op het netwerk zouden kunnen komen. Of zie ik dit verkeerd?
Niet dat dit betekent dat deze fout niet opgelost moest worden.
bbob
@Kartmans124 december 2011 12:02
Veel inkjet en laserprinters hebben tegenwoordig een netwerkaansluiting, ze hangen dus gewoon aan je netwerk en kunnen via de router dus ook van buiten het netwerk aangestuurd worden, als de poorten vrijgegeven zijn. Je kan dus ook printopdrachten geven vanuit een andere locatie. Op die manier kan men dus schijnbaar ook de firmware manipuleren.
n4m3l355
@bbob24 december 2011 12:22
Een netwerkverbinding inderdaad is voldoende. Verder weet ik niet om welke versie het gaat maar ik heb zelf een HP laserprinter en die heeft een internet print functie zelfs dus somehow communiceerd die naar het internet toe. Overigens vraag ik me af in hoeverre dit 'nieuw' is. Ik kon me lang lang geleden dat je via Altavista zelfs admin pagina's kon vinden van printers en daar grappen mee kon uithalen toen astalavista nog 'spannend' was.
Ook vraag ik me af in hoeverre andere printers hier niet bevattelijk voor zijn. Steeds meer printers krijgen uitgebreide interne software en acteren als kleine computers. Het lijkt me haast een kwestie van tijd totdat een grappenmaker hier iets leuks mee doet.
Mr_gadget
@bbob24 december 2011 15:49
Heel leuk die webprintsoftware, makkelijk printen vanaf het internet. Maar ook een veiligheidsrisico..Dan moet je dus er ook gaan letten dat de firmware op je printer up to date is omdat hij ander gehacked kan worden..
piderman
@bbob24 december 2011 12:56
Dat lijkt me toch redelijk makkelijk op te lossen door het inkomende verkeer via een andere poort op de router te laten lopen en de printer geen toegang naar buiten te geven?
alexvanniel
@Kartmans124 december 2011 11:59
Als je PC besmet raakt met een virus dan heeft dat virus toegang tot de PC en dus tot de printer. Een dergelijk virus zou dan dus de firmware met kwaadaardige firmware kunnen overschrijven. Dus nee, niet alleen als je op hetzelfde netwerk zit. Overigens zijn er genoeg koekenbakkers die hun draadloze netwerk niet eens beveiligd hebben.
OddesE
@alexvanniel24 december 2011 12:02
Als je PC besmet raakt met een virus
...dan zit dat virus daarmee op hetzelfde netwerk.
Dus ja, wel alleen als je op hetzelfde netwerk zit.
RielN
@OddesE24 december 2011 12:43
Een virus is niet iemand. Die iemand kan dus aan de andere kant van de wereld zitten.
OddesE
@RielN24 december 2011 13:51
Ik weet niet hou het met jou zit maar ik heb nog nooit mensen op het netwerk gezien. Bij mijn weten kunnen daar alleen bits en bytes overheen. |:(

Het virus handelt namens iemand. En diegene heeft gewoon toegang tot je hele PC en je lokale netwerk en je printer en alle andere randapparatuur gekregen op het moment dat je PC besmet raakte.

Waar het Kartmans1 in zijn vraag om ging is dit: Is deze zwakte remote (dus vanaf het internet) exploiteerbaar of heb je daarvoor toegang tot het lokale netwerk / de lokale PC nodig. Een virus is gewoon een vorm van toegang tot het lokale netwerk. Dus dat is geen antwoord op de vraag. Overigens beweert bbob1970 hieronder dat deze printers vanaf het externe netwerk te benaderen zijn. Of dat inderdaad zo is is ook een kwestie van hoe je router is geconfigureerd, of je een firewall draait, welke functies de printer allemaal heeft etc etc.

Als de hacker een virus nodig heeft ervoor dan is het dus blijkbaar niet vanaf het internet te doen (niet rechtstreeks i.i.g) en dat was de strekking van mijn opmerking.

[Reactie gewijzigd door OddesE op 24 december 2011 13:55]

Anoniem: 271482
@Kartmans124 december 2011 12:23
Ik heb met regelmaat tot in 2005 situaties gehad waar ik de printer gewoon direct aan een van de buitenIP's zette, voor printen op andere locaties vanuit MKB met meerdere vestigingen. DSL weet ik niet, maar kabelnetwerken als die van UPC/sprinter waren zeker te browsen vroeger, laat staan als je jetdirect software er op losliet.
Anoniem: 423434
24 december 2011 19:37
Veel meer dan voordringen in de Print Q, of Documenten van Collega's deleten zal er wel niet inzitten. In somigge Printers zitten wel Sjablomen en Huisstijlen opgeslagen, welligt dat je het Briefpapier kan veranderen online, lol!

Maar het blijven uitvoer Apparaten, ik moet de eerste Hack-zaak zaak nog zien.
TonnyTonny
@Anoniem: 42343424 december 2011 23:06
Uitvoer apparaat..... Me hoela,

Ik weet het niet van HP's, maar alle grote Ricoh, Xerox, Minolta, Canon en Oce multi-functionals hebben gewoon een PC moederbord van binnen en draaien op Linux.
Als je daar een root-kit in frommelt kun je het hele bedrijfsnetwerk monitoren.
De data naar buiten smokkelen is ook simpel. Meestal heeft de systeembeheerder een uitgaande mail geconfigureerd op de printer zodat die om nieuwe toner kan vragen. Daarlangs kun je dus ook de bedrijfsinfo naar buiten mailen.

Ik weet van b.v. Ricoh's dat de meeste modellen gewoon booten van een USB stick als je die in de USB host-poort steekt en een power-cycle doet. (Die host-poort zit meestal verborgen achter een plastic afdekplaatje naats de LAN-aansluiting. Effe losschroeven.)
Gelukkig zijn ze bij Ricoh wel zo slim om de interne flash en de HD te encrypten zodat je na de boot nergens bij kunt, dus het is niet echt een risico. Of dat bij andere merken ook zo is....
NSG
24 december 2011 11:49
hier een link naar een filmpje hierover. Let wel op het is een download geen stream.
dasiro
@NSG24 december 2011 12:15
je moet dus al eerst printrechten hebben en dat is binnen bedrijven al niet zo vanzelfsprekend.
KilljoyNL
24 december 2011 12:10
Ik hoop dat wel de settings in de printers bewaard blijven.
arjankoole
@KilljoyNL25 december 2011 10:03
Op de mijne, die overigens alleen vanaf her Interne netwerk bereikbaar is, wel.
segil
24 december 2011 12:21
Mij is niet helemaal duidelijk of de aanvallers een compleet eigen versie van de firmware geschreven hebben, die enigszins is aangepast. Of dat ze de aanwezige firmware tweaken, om hun doel te behalen.
Het updaten van een laserjet printer is nooit zo lastig geweest, namelijk via ftp. Authenticatie is niet eens nodig.
ftp <ip-adres printer>
bin
put <malicious-code.file>

Denk dat de meeste laserjets niet eens beveiligd zijn tegen ftp gebruik. Volgens mij werd dat vroeger nog wel eens misbruikt in bedrijven, scholen door het apparaat als bulk storage te gebruiken voor zaken zoals warez, films, etc.
arjankoole
@segil27 december 2011 08:32
waar heb je 't over? mijn laserjet - die ook kwetsbaar was (maar niet vanaf internet bereikbaar natuurlijk) - heeft nooit ftp open gehad.

een andere laserjet met dezelfde kwetsbaarheid kan ik dat ook niet in vinden. SNMP? ja. ftp? hell no.
X-Tripiot
24 december 2011 22:48
inderdaad. hier in de straat . 9 van die draadloze hp printers.. onbeveiligt!! (woon tegenover een school) inloggen erop kun je gewoon het ssid en wepkey zien van het netwerk :S ken je daar ook zo op 8)7

[Reactie gewijzigd door X-Tripiot op 24 december 2011 22:49]

1nsane
@X-Tripiot25 december 2011 09:35
Eigenlijk is het ongeveer het zelfde als vroeger draadloze netwerken, ik kan me nog herinneren dat je enkele jaren geleden op bijna elke straathoek wel een onbeveiligd draadloos netwerk kon vinden.

Als je tegenwoordig bijvoorbeeld je Experiabox in het stopcontact steekt is deze al beveiligd met een wep/wpa2 key.

Ik neem aan dat producenten van printers dit op den duur ook gaan doen maar wat ik niet begrijp is dat een bedrijf als HP (Die zelf ook netwerk apparatuur leveren) daar niet eerder bij hebben nagedacht.

Vooral als je naar het MKB kijkt, die hebben redelijk vaak een niet al te ingewikkelde multifunctional staan waarmee je dan zo het netwerk binnen kan komen.

Ik denk eigenlijk dat de producenten van netwerk printers/multifunctionals zich eerder daar druk om moeten maken dan het manipuleren van de printer zelf. Natuurlijk is het niet de bedoeling dat je van afstand een kantoorpand in de fik kan steken maar ik denk dat de mensen die de moeite zouden nemen om langs een printer in te breken in een netwerk zich eerder richten op het netwerk zelf en alles wat daar weer aan gekoppeld is, financieel kan je daar veel meer schade mee toebrengen potentieel gezien.
Anoniem: 68006
24 december 2011 11:53
Is er ook een lijst met printers die het betreft? Op de HP site kan ik die zo 1-2-3 niet vinden.
Glodenox
24 december 2011 11:54
Zou dit ook als effect hebben dat men bij de nieuwe printers niet meer die idiote counters kan resetten, zoals bij printers wel vaker voorkomt? Want waarschijnlijk maakt de software die geschreven is om die counters te resetten ook gebruik van enkele zwakheden in de firmware...

Als het hier echter gaat over toegang van buiten af die door alle mogelijke beveiliging die ingesteld is op printers doorgaat, dan is dit wel een goede ontwikkeling.

EDIT: even voor de duidelijkheid: ik heb het over counters in de software die zeggen dat een printer na een bepaalde tijd moet binnengebracht worden bij de fabrikant voor onderhoud. Maar als je daarop in gaat, wordt er je systematisch gezegd dat je beter gewoon een nieuwe printer aanschaft. De software gaat er bijvoorbeeld van uit dat je maar X aantal pagina's kan afdrukken eer er een sponsje dat alle inktresten opvangt vol gaat zitten, terwijl je over het algemeen daar veel langer mee overweg kan.

[Reactie gewijzigd door Glodenox op 24 december 2011 11:56]

Aionicus
24 december 2011 20:02
printers worden 9 van de 10 keer niet goed beveiligt, vooral als je bij grote netwerken kijkt.

1 printer (brother/hp) die je van internet kan benaderen is dan het startpunt waarna men gewoon het hele netwerk infecteerd/scanned. aangezien met langs de bedrijfsfirewall gaat doordat men de printer niet goed beveiligd.

gelukkig letten systeembeheerders iets beter op tegenwoordig. zal maar gebeuren dat je klantgegevens worden gestolen via een printer!
X-Tripiot
25 december 2011 21:28
Wat dacht je van thuis of op t kantoor komen en alle printers zijn leeggeprint snachts door een of andere pipo :P.. die toners zijn ook niet erg goedkoop :)
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee