Ang Cui podpala drukarkę wirusem

Problem dotyczy  systemów wbudowanych w drukarki, które można skrótowo opisać jako małe komputery, które nieraz nawet łączą się z Internetem. Nieraz są one zabezpieczone fatalnie przed włamaniami. Jednak możliwości tak dewastującego ataku nie spodziewał się nikt.

Komputer wbudowany w drukarkę można przeciążyć instrukcjami skierowanymi do nagrzewnicy, przez to ta się rozgrzewa do na tyle wysokiej temperatury, że umieszczona ryza papieru zajmuje się ogniem. W tym momencie pożar wydaje się przesądzony.

No dobrze, ale póki co wygląda to tylko i wyłącznie na problem akademicki, bowiem… jak dostarczyć tego typu niszczycielskie dane drukarce? Jak się okazuje, w banalny sposób. Drukarki HP, przed rozpoczęciem drukowania, sprawdzają, czy nie jest dostępna aktualizacja oprogramowania układowego. Sęk w tym, że w żaden sposób jej nie weryfikują. Z takim samym entuzjazmem przyjmują oficjalne poprawki od HP, jak i dowolny inny wykonywalny kod. A co z drukarkami, które nie są podłączone do Internetu? Tu wystarczy skłonić użytkownika, by wydrukował specjalnie przygotowany, zainfekowany dokument.

Proces instalacji alternatywnego oprogramowania układowego trwa maksymalnie pół minuty i jest niezauważalny dla użytkownika. Jedyna metoda, by takiego wirusa wyryć, to rozmontować drukarkę, wyjąć kości z oprogramowaniem, podłączyć je do stacji diagnostycznej i sprawdzić.

HP twierdzi, że badania są zmanipulowane. Firma utrzymuje, że wszystkie modele sprzedawane od 2009 roku wymagają cyfrowego podpisu dla aktualizacji oprogramowania.

Aktualizacja: Na skutek błędnego tłumaczenia z języka angielskiego wypowiedzi osób, które odkryły omawianą usterkę w drukarkach, opis działania usterki był nieprecyzyjny, zawierał drobny błąd merytoryczny. Tekst został poprawiony (dzięki M4r14N!). Dodatkowo, otrzymaliśmy oświadczenie od HP, które publikujemy poniżej w całości:

Stanowisko HP w związku z nieprecyzyjnymi informacjami na temat potencjalnych luk w zabezpieczeniach niektórych drukarek HP LaserJet

Warszawa, 30 listopada 2011 - W dniu dzisiejszym pojawiły się nieprecyzyjne informacje dotyczące potencjalnych luk w zabezpieczeniach niektórych drukarek HP LaserJet. Żaden z klientów nie zgłosił przypadku nieautoryzowanego dostępu. Spekulacje dotyczące możliwości samozapłonu urządzenia drukującego w związku ze zmianą w oprogramowaniu sprzętowym są fałszywe.

Drukarki HP LaserJet wyposażone są w rozwiązanie „thermal breaker”, pełniące funkcję termicznego wyłącznika instalacyjnego, którego zadaniem jest zapobieganie przegrzaniu. Zmiany w oprogramowaniu sprzętowym lub wskazywana w doniesieniach prasowych luka w zabezpieczeniach nie mogą mieć wpływu na jego działanie.

HP faktycznie stwierdziło występowanie potencjalnej luki w zabezpieczeniach niektórych modeli drukarek HP LaserJet, ale żaden z klientów nie zgłosił przypadku nieupoważnionego dostępu. Luka ta dotyczy wybranych modeli HP LaserJet, które podłączone są do publicznej sieci internetowej bez firewalla. W sieciach prywatnych, niektóre drukarki mogą być zagrożone, jeśli zaufany użytkownik sieci podejmie celową próbę modyfikacji oprogramowania sprzętowego. W przypadku systemów Linux lub Mac, może wystąpić sytuacja, gdzie specjalnie sformatowane, nieprawidłowe zlecenie wydruku uruchomi aktualizację oprogramowania sprzętowego.

HP przygotowuje aktualizację oprogramowania sprzętowego, która wyeliminuje ten problem. Firma będzie aktywnie informować o kolejnych krokach klientów i partnerów, którzy mogą być dotknięci tą sytuacją.

Tymczasem HP ponownie zachęca do przestrzegania dobrych praktyk z zakresu zabezpieczania urządzeń, czyli umieszczania drukarek za firewallem, a także, tam, gdzie to możliwe, do wyłączenia funkcji zdalnego wczytywania aktualizacji oprogramowania sprzętowego na narażonych drukarkach.

Wszystkie urządzenia pracujące w sieci potencjalnie są narażone na problemy z bezpieczeństwem. HP traktuje te zagrożenia bardzo poważnie, niezależnie od tego, jak małe może być ryzyko. To właśnie nieustająca koncentracja na klientach i kultura inżynieryjnej doskonałości definiują HP i markę LaserJet.

Dodatkowe informacje dostępne są na stronie www.hp.com/go/secureprinting.