2015年9月,惠普推出配备有嵌入式安全功能的企业级LaserJet打印机以及多功能一体机(MFP),并声称这些安全功能来自惠普笔记本电脑所使用的安全系统,可以有效应对黑客攻击。

比如图下这个名为《狼》的广告,在好几个安全会议上看到过。

惠普企业级打印机,曝远程命令执行漏洞

这家科技巨头声称它提供了“世界上最安全的打印”,在公司最近开展的一项市场营销活动中,还显示了其他供应商的打印机被黑客攻击后,所造成的重大损害。

那主打“安全”概念的这几款打印机,到底能否名副其实?

来自 FoxGlove Security 公司的研究人员决定一试究竟。

他们使用由德国鲁尔大学波鸿分校的研究人员开发的 PRET(PRinter Exploitation Toolkit)程序,对2000美元的惠普 PageWide Enterprise 586dn多功能打印机以及售价约为500美元的 HP LaserJet Enterprise M553n 打印机进行了测试。

当 PRET 被引入时,研究人员的目标是找到一个可用于远程代码执行(RCE)的漏洞。为了达到这个目的,他们提取了打印机操作系统和固件,并对其进行了逆向工程。

虽然惠普已经实施了一些机制来防止篡改系统,但是研究人员设法绕过了这些系统并获得了对文件的访问权限。

这不仅允许他们可以访问任何打印作业(包括PIN保护作业)的内容, PRET 还帮助研究人员发现了可用于操纵打印作业内容的漏洞,并将设备重置为出厂设置。

也就是说,他们不仅能知道你即将要打印的东西是什么,还能对你打印出的东西进行篡改!

目前,研究人员声称已经用它找到惠普,兄弟,利盟,戴尔,三星,柯尼卡,OKI和Kyocer 的20台打印机的漏洞。该代码执行漏洞于8月21日向惠普公布。

惠普宣称,已于上周五对漏洞(CVE-2017-2750)进行了修复。该漏洞影响的打印机包括 HP LaserJet Enterprise,PageWide Enterprise,LaserJet Managed 和 OfficeJet Enterprise 等。