Más de 100 modelos de impresoras de tinta de HP tienen dos vulnerabilidades críticas: Parchea ahora

Más de 100 modelos de impresoras de tinta de HP tienen dos vulnerabilidades críticas: Parchea ahora

Días después de lanzar su recompensa por encontrar vulnerabilidades en sus impresoras y ofrecer hasta 10,000 dólares para que los investigadores encuentren fallos en sus impresoras, HP ha lanzado dos correcciones de firmware para dos errores severos para las impresoras de tinta.

Cientos de impresoras de inyección de tinta HP son vulnerables a dos vulnerabilidades de ejecución de código remoto (RCE) y necesitan ser reparadas inmediatamente, según el Equipo de respuesta de seguridad de productos (PSRT) de HP.

"Se han identificado dos vulnerabilidades de seguridad con ciertas impresoras HP Inkjet. Un archivo creado con fines malintencionados enviado a un dispositivo afectado puede provocar un desbordamiento del búfer estático o de la pila, lo que podría permitir la ejecución remota de código", escribió el PSRT de HP en un boletín de seguridad.

Es importante destacar que hay unos 166 modelos de impresoras multifunción y de consumo para empresas que probablemente estén conectadas a redes informáticas, aunque no ha explicado cómo las impresoras con estás vulnerabilidades podrían ser utilizadas por delincuentes u otras para explotar de forma más amplia una red informática .

Los modelos afectados incluyen varias versiones de sus populares impresoras OfficeJet, DeskJet y Envy, así como las impresoras DesignJet y PageWide Pro.

Utilizando el sistema de puntuación de vulnerabilidad común CVSS 3.0 Base Metrics, se calificaron los errores como 9.8 de un posible 10.

Los dos errores RCE están siendo rastreados como CVE-2018-5924 y CVE-2018-5925.

La compañía lanzado actualizaciones de firmware para las impresoras afectadas y las está lanzando a través de su página de software y controladores, donde los clientes pueden buscar su modelo específico.

El momento del boletín de seguridad y la gravedad de los errores es notable, dado el anuncio de HP la semana pasada de su programa de recompensas de vulnerabilidad, que ofrece entre 500 dólares y 10,000 dólares a los investigadores para encontrar errores en la impresora.

HP se jactó de que era el "único proveedor" en admitir un esquema de recompensas de vulnerabilidad solo para impresoras.

HP dijo que inició el programa para desafiar a los investigadores a "buscar defectos que podrían usarse contra sus clientes".

También proporciona a los investigadores acceso remoto a "un conjunto de impresoras multifuncionales empresariales a investigadores invitados para centrarse en el potencial de acciones maliciosas a nivel de firmware, incluida la falsificación de solicitudes entre sitios (CSFR), RCE y defectos de scripts entre sitios (XSS). "

En una declaración sobre la recompensa de vulnerabilidades de la impresora, Shivaun Albright, tecnólogo jefe de HP de Print Security, dijo que el programa se lanzó cuando la compañía navega en "un mundo de amenazas cibernéticas cada vez más complejo", donde era "primordial que los líderes de la industria aprovechen todos los recursos posibles". para entregar seguridad confiable y resistente desde el firmware ".

También señaló el informe de Bugcrowd que descubrió que las vulnerabilidades en las impresoras habían aumentado un 21 por ciento en el último año.

Uno de los desafíos para las empresas es que los directores de seguridad de la información a menudo no participan en la compra de impresoras.

En cuanto a HP, la compañía ha anunciado el crecimiento de su negocio de impresoras 3-D, frente a su negocio de impresoras tradicional que compite con productos como Epson y Canon basados en suministros de tinta de alto precio frente al hardware en sí.

La compañía se está asociando con Bugcrowd para ejecutar su programa de informes y recompensas de vulnerabilidad. Incluso se lanzó la película "The Wolf", protagonizada por Christian Slater, para recordar a la gente que solo el dos por ciento de los millones de PC de negocios de todo el mundo están asegurados.

Los investigadores en 2009 llamaron la atención sobre los errores en una serie de impresoras LaserJet de HP que amenazaban a las redes corporativas debido a que las máquinas no pudieron verificar las firmas digitales antes de instalar una actualización de firmware.

Más información: Comunicado HP

Read more