Cập nhật phần dẻo làm giảm nhẹ các vấn đề an ninh máy in LaserJet của HP

Firmware update mitigates HP's LaserJet printer security problems

24 December 2011, 15:12

Theo: http://www.h-online.com/security/news/item/Firmware-update-mitigates-HP-s-LaserJet-printer-security-problems-1401292.html

Bài được đưa lên Internet ngày: 24/12/2011

Lời người dịch: Trong khi có hàng loạt các website của Việt Nam đăng tin (từ khóa để tìm: “bảo mật máy in HP”) về việc các tin tặc có thể tấn công vào mạng, thậm chí đốt cháy máy in LaserJet của HP, thì trên site ictnews có đăng bài “Không có chuyện máy in HP cháy do thay đổi firmware” với lời giải thích của đại diện HP Việt Nam. Còn bây giờ, site The H, một site thông tin chuyên về an ninh của nước Đức lại có tiếp bài viết này. Bài viết cho hay: “HP đang khuyến cáo những người sử dụng đặt các máy in của họ ra sau một tường lửa, và, ở những nơi có khả năng, hãy vô hiệu hóa chức năng cập nhật từ xa. HP đã cùng đặt lên một trang web có chứa các mẹo tiếp theo về an ninh. Một số khuyến cáo chung là áp dụng được cho cả các máy in không phải là HP. Các rủi ro do các tin tặc đặt ra lên các máy in được kết nối mạng không phải là một vấn đề mới - các nhà sản xuất khác cũng có kinh nghiệm về các vấn đề tương tự trong lĩnh vực này”.

HP đã tung ra một cập nhật phần dẻo cho một số máy in LaserJet của hãng, nhằm vào việc làm giảm nhẹ rủi ro đặt ra vì một chỗ bị tổn thương được phát hiện vào cuối tháng 11. Hãng này đã nhấn mạnh rằng hãng sẽ “truyền đạt điều này một cách chủ động tích cực tới các khách hàng và các đối tác” - dù dường như còn chưa, với thông cáo báo chí về cập nhật không đưa ra các chi tiết về những thay đổi của HP và không tiết lộ phần dẻo mới này là sẵn sàng cho những thiết bị nào.

Trong các mẫu máy bị ảnh hưởng, các cập nhật đã luôn được cung cấp mà không có một chữ ký số. Các thiết bị sẽ chỉ chấp nhận và cài đặt bất kỳ phần dẻo nào mà chung có chữ ký số. Một công việc in ấn bị giả mạo từ một hệ thống Linux và Mac là cũng có thể xảy ra, trong một số trường hợp thậm chí là từ xa, có khả năng kích hoạt một cập nhật phần dẻo, cho phép một kẻ tấn công tiêm mã nguồn và chiếm quyền kiểm soát máy in đó.

Theo một báo cáo của MSNBC, trong một cuộc kiểm thử, các nhà nghiên cứu của Đại học Columbia đã phát hiện ra chỗ bị tổn thương đã có khả năng gây ra cho đơn vị fuser nóng lên. Tuy nhiên, HP từ chối rằng chỗ bị tổn thương có thể được sử dụng để gây ra sự cháy, nói rằng sự hiện diện của một dòng phá bằng nhiệt ngược lên dòng trên của fuser sẽ ngăn trở việc đốt nóng.

Những người sử dụng các máy in LaserJet của HP vẫn theo dõi sát đối với cập nhật an ninh này, nếu không thì họ sẽ bị phơi ra rủi ro rằng máy in của họ có thể bị sử dụng để gián điệp mạng mà máy in được gắn vào.

Ít nhà quản trị nào nghĩ tới việc thiết lập tường lửa cho một máy chủ hoặc hạ tầng khác từ các máy in của riêng họ.

HP has released a firmware update for some of its LaserJet printers, aimed at mitigating the risk posed by a vulnerability disclosed in late November. The company stressed that it will be "communicating this proactively to customers and partners" – though not, it seems, just yet, with the press release on the update giving no details of the changes made by HP and failing to reveal which devices the new firmware is available for.

On the affected models, updates have always been supplied without a digital signature. The devices will just accept and install any firmware they are given. A crafted print job sent from a Linux or Mac system can also, in some cases even remotely, be able to trigger a firmware update, allowing an attacker to inject code and take control of the printer.

According to a report by MSNBC, in one test, the University of Columbia researchers who discovered the vulnerability were able to cause the fuser unit to overheat. HP, however, denies that the vulnerability could be used to cause a fire, stating that the presence of a thermal breaker upstream of the fuser prevents overheating.

HP LaserJet users should still keep an eye out for the security update, as they will otherwise be exposed to the risk that their printer could be used to spy on the network to which it is attached. Few administrators would think to firewall a server or other infrastructure off from their own printers.

Như thông báo ban đầu của mình về vấn đề này, trong thông báo mới nhất của mình, HP đang khuyến cáo những người sử dụng đặt các máy in của họ ra sau một tường lửa, và, ở những nơi có khả năng, hãy vô hiệu hóa chức năng cập nhật từ xa. HP đã cùng đặt lên một trang web có chứa các mẹo tiếp theo về an ninh. Một số khuyến cáo chung là áp dụng được cho cả các máy in không phải là HP. Các rủi ro do các tin tặc đặt ra lên các máy in được kết nối mạng không phải là một vấn đề mới - các nhà sản xuất khác cũng có kinh nghiệm về các vấn đề tương tự trong lĩnh vực này.

As in its initial announcement of the problem, in its latest notification, HP is advising users to place their printers behind a firewall, and, where possible, to disable the remote update function. The company has put together a web page containing further security tips. Some of these general recommendations are equally applicable to non-HP printers. The risks posed by attacks on networked printers are not a new issue – other manufacturers have also experienced problems in this area.

(djwm)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com