[ZEUS News - www.zeusnews.it - 01-12-2021]
«È facile dimenticare che le moderne stampanti multifunzione sono a tutti gli effetti dei computer» ha di recente ricordato Timo Hirvonen, esperto di sicurezza che svolge il lavoro di consulente per F-Secure.
Se Hirvonen s'è sentito in dovere di fare questa considerazione, il motivo è che sono state scoperte due falle piuttosto serie in oltre 150 stampanti multifunzione HP e che, tramite attraverso di esse, si possono causare seri danni.
F-Secure ha scoperto i bug nel modello MFP M725z, che fa parte della linea FutureSmart; come anticipavamo la lista dei dispositivi interessati è però molto più lunga e comprende per lo più apparecchi professionali, generalmente collegati in rete.
Per sfruttare le falle è sufficiente convincere uno degli utenti che hanno accesso alle stampanti a visitare un sito web creato apposta per portare a termine quello che viene definito un attacco di tipo cross-site printing.
A quel punto il sito invia una stampa al dispositivo da compromettere, usando un file per il quale è stato adoperato un font realizzato appositamente per approfittare del bug nella multifunzione.
Così facendo, chi ha ideato l'attacco riesce a ottenere la possibilità di eseguire del codice sulla stampante: esempi di ciò che si può fare comprendono l'acquisizione di tutti i documenti stampanti, inviati via fax o acquisiti dalla multifunzione, ma anche la cattura delle credenziali di login per la rete.
Dal dispositivo compromesso, inoltre, si può continuare l'attacco per cercare di violare i computer e gli altri apparecchi connessi alla rete.
Fortunatamente, HP ha già pubblicato gli aggiornamenti del firmware necessari per risolvere le falle, ed è pertanto prioritario installarli al più presto; purtroppo, generalmente gli aggiornamenti delle stampanti non vengono considerati urgenti, spesso proprio perché ci si dimentica delle capacità che possiedono, che le rendono - come ricordava F-Secure - veri e propri computer.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Gladiator