HP patches ernstige code bug in de enterprise-printers

0
178

Nul

screen-shot-2017-11-23-at-09-56-57.jpg
HP

HP heeft uitgegeven firmware patches te repareren van een lek waardoor aanvallers op afstand uitvoeren van code aanvallen op enterprise-grade printers.

Vingerhoedskruid Security onderzoekers uitgegeven een adviserende openbaarmaking van de technische details van de fout, CVE-2017-2750, eerder deze week.

Het team testte HP PageWide Enterprise Color MFP 586 en de HP Color LaserJet Enterprise M553 modellen, en vond dat ze in staat waren om te reverse engineeren “.BDL” (bundel) extensie bestanden te vinden in de HP firmware.

Na de reverse engineering van de code, de onderzoekers waren in staat om het ambacht en het uploaden van gemaakte firmware bestanden om te ontdekken waar de handtekening van de validatie aan de hand was en om deze beveiligingen te omzeilen.

Vanwege “onvoldoende oplossing DLL handtekening validatie,” Vingerhoedskruid was vervolgens in staat om deze informatie te gebruiken voor het maken van malware speciaal ontworpen om het benutten van de printer bereiken’ zwakke punten in de beveiliging die leiden tot uitvoering van externe code.

Het lek werd gemeld dat HP op 21 augustus 2017, is beoordeeld 8.1 op de CVSS schaal.

Volgens HP security advisory, de kwetsbaarheid, impact van een breed scala van business-ready printers, zoals de HP Color LaserJet Enterprise M651, HP Color LaserJet M680, HP LaserJet Enterprise Flow MFP M631, HP PageWide Enterprise Kleur X556, en vele anderen.

Spreken ThreatPost, de tech-gigant gezegd dat HP is “bewust zijn van het probleem’ en de patch is nu klaar voor gebruik.

“Bijgewerkte systemen zijn niet blootgesteld aan deze kwetsbaarheden en klanten worden aangemoedigd om het implementeren van de fix,” HP gezegd.

Een firmware update is nu vrijgegeven voor het oplossen van de bug, die kan handmatig worden gedownload van HP via de firmware search tool.

Vingerhoedskruid van het project is te vinden op GitHub.

Vorige en aanverwante dekking

Linus Torvalds: ‘ik heb geen vertrouwen in de veiligheid van mensen om gezond dingen’ Bug bounty hunter onthult DJI SSL, firmware toetsen zijn openbaar voor het jaar Oracle duwt nood patch voor het kritieke Tuxedo server kwetsbaarheden

Verwante Onderwerpen:

HP Inc.

Beveiliging TV

Data Management

CXO

Datacenters

0