HP đánh giá thấp mối đe dọa bảo mật máy in LaserJet

04/11/2015 07:10
Theo dõi ICTVietnam trên

Hàng triệu các máy in LaserJet của Hewlett Packard có chứa một điểm yếu bảo mật mà có thể cho phép kẻ tấn công kiểm soát hệ thống, ăn cắp dữ liệu từ hệ thống và tạo ra các lệnh có thể khiến cho các thiết bị trở nên quá nóng và bắt lửa, theo hai nhà nghiên cứu từ Đại học Columbia .

Máy in từ các nhà cung cấp khác có thể cũng có cùng một vấn đề, khiến cho người sử dụng gặp phải các mối đe dọa tương tự, các nhà nghiên cứu cho biết.Các phát hiện của hai nhà nghiên cứu bảo mật lần đầu tiên được xuất bản bởi MSNBC.com trước ngày hôm nay (29/11).Và HP rất xem nhẹ lời tuyên bố của các nhà nghiên cứu, coi nó là tin tắc "giật gân và không chính xác".

Mặc dù HP đã xác định một lỗ hổng bảo mật tiềm năng với một số máy in HP LaserJet nhưng không có khách hàng báo cáo về truy cập trái phép, công ty cho biết.

Lỗ hổng trong máy in LaserJet của HP được phát hiện bởi giáo sư Salvatore Stolfo của Sở Khoa học Máy tính tại trường Đại học Cơ khí và Khoa học ứng dụng Columbia và nhà nghiên cứu bảo mật Ang Cui.Lỗ hổng này tồn tại trong quá trình cập nhật phần mềm từ xa của các máy in LaserJet. Do các biện pháp xác thực yếu, máy in có thể mắc lừa chấp nhận các phần mềm bị thay đổi tùy tiện chấp nhận bởi bất cứ ai có quyền truy cập vào thiết bị, Stolfo cho biết trong một cuộc phỏng vấn.

Các máy in LaserJet đã được thử nghiệm không yêu cầu việc cập nhật phần mềm phải được ký kỹ thuật số, và điều này cho phép bất cứ ai về cơ bản cũng có thể xóa bỏ phần mềm điều hành hiện tại của máy in và ghi đè lên nó bằng một phần mềm độc hại.

Những kẻ tấn công có thể giành quyền kiểm soát máy in và viết lại phần mềm của nó để nó sẽ không thể được thiết lập lại. "Đó là một lỗ hổng bảo mật khá xấu".Stolfo nói rằng ông và Cui đã điều tra ba mô hình LaserJet phổ biến và phát hiện ra sự yếu kém tương tự trong cả ba chiế máy in này. Các nhà nghiên cứu đã không tiết lộ số mô hình cụ thể.

Máy in bị tấn công bởi một công việc in ấn độc hại, hoặc được gửi bởi một người nào đó có quyền truy cập đến máy in hoặc một người nào đó từ xa nếu máy in được kết nối trực tiếp với Internet.

Lỗ hổng này cho phép kẻ tấn công có thể ăn cắp tài liệu từ một máy in bị nhiễm, hoặc sử dụng các thiết bị như một bệ phóng để tấn công các máy tính gắn liền với nó. Lỗ hổng này cũng cho phép các kẻ tấn công ra lệnh làm cho Fuser (bộ sấy), một thiết bị được sử dụng để làm khô mực, của máy in bắt đầu nóng lên. Về mặt lý thuyết ít nhất, nó có thể khiến cho giấy in bắt lửa.

Theo Stolfo, trong thử nghiệm chứng minh của mình, ông đã có thể làm cho bộ sấy trên một máy in LaserJet đủ nóng để khiến giấy của máy in trở thành màu nâu và bốc khói. Tuy nhiên, một cơ chế an toàn được xây dựng trong máy in có thể ngăn lại trước khi nó có thể bắt lửa.

HP đã không ngay lập tức phản ứng với yêu cầu bình luận. Trong tuyên bố của mình, HP cho biết họ đang làm việc trên một bản cập nhật phần mềm cho vấn đề này. Tuy nhiên, họ đánh giá thấp mối đe dọa.

“Khả năng dễ bị tổn thương tồn tại trong một số thiết bị máy in HP LaserJet nếu chúng được đặt trong một mạng internet công cộng mà không có tường lửa”, công ty cho biết. “Trong một hệ thống mạng riêng, một số máy in có thể dễ bị tổn thương nếu một nỗ lực của phần mềm độc được thực hiện để sửa đổi Firmware của thiết bị bởi một bên tín nhiệm trên hệ thống mạng."

Thùy Linh

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
HP đánh giá thấp mối đe dọa bảo mật máy in LaserJet
POWERED BY ONECMS - A PRODUCT OF NEKO