160 modelos de impresoras HP contienen dos vulnerabilidades críticas

Share this…

La empresa ha lanzado parches para dos graves bugs que afectan a más de 166 modelos de impresoras domésticas y multifuncionales de oficina

Unos días después de publicar su programa de recompensas por reportes de errores que ofrece hasta 10 mil dólares para que los investigadores de seguridad en redes informáticas encuentren bugs en sus impresoras, HP ha lanzado dos correcciones de firmware para dos errores severos presentes en numerosos modelos.

Especialistas en seguridad en redes informáticas del Instituto Internacional de Seguridad Cibernética reportan que cientos de impresoras de inyección de tinta HP presentan dos vulnerabilidades de ejecución de código remoto (RCE) y necesitan ser reparadas inmediatamente.

De acuerdo a un comunicado de seguridad de la empresa: “Se han identificado dos vulnerabilidades de seguridad con ciertas impresoras HP Inkjet. Un archivo creado con fines maliciosos enviado a un dispositivo afectado puede provocar un desbordamiento del búfer estático o de la pila, lo que podría permitir la ejecución remota de código”, afirma la empresa.

Al mencionar “ciertas impresoras”, HP se refiere a 166 modelos de impresoras para el hogar y multifuncionales para empresas que probablemente estén conectadas a redes informáticas, aunque no ha explicado cómo las impresoras con errores podrían ser utilizadas por hackers para explotar estas redes. Los modelos afectados incluyen varias versiones de sus populares impresoras OfficeJet, DeskJet y Envy, así como las impresoras DesignJet y PageWide Pro.

Los dos errores están siendo identificados como CVE-2018-5924 y CVE-2018-5925.

HP ha lanzado actualizaciones de firmware para las impresoras afectadas a través de su página de software y controladores, donde los clientes pueden buscar su modelo específico. Este evento coincide con el anuncio de HP la semana pasada de su programa de recompensas de vulnerabilidades, que ofrece entre 500 y 10 mil dólares a especialistas en seguridad en redes informáticas para encontrar errores en sus equipos.

El programa proporciona a los expertos acceso remoto a “diversas impresoras y multifuncionales para analizar el potencial de posibles acciones maliciosas a nivel de firmware, incluida la falsificación de solicitudes entre sitios, ejecución remota de código, y defectos de scripts entre sitios”.

Uno de los desafíos para las empresas es que los directores de seguridad en redes informáticas a menudo no participan en la compra de impresoras.

La compañía se está asociando con Bugcrowd para administrar los informes y recompensas de vulnerabilidades.

En 2009, expertos en seguridad en redes informáticas señalaron los errores presentes en una serie de impresoras LaserJet de HP que amenazaban a las redes de las empresas debido a que las máquinas no pudieron verificar las firmas digitales antes de instalar una actualización de firmware.