一位安全專家警告稱,辦公室常見的多功能打印機不再是“啞”設備,而成為了能夠遭到攻擊的計算機。 在Black Hat 會議上發言時,美國一家金融機構的安全專家布倫達進行了如何控制施樂打印機,實施破壞行為的演示。 在上周四的演講中,布倫達說,不要再將它們看作是打印機,而要將它們看作是工作站和服務器。打印機應當成為一家企業安全計劃的一部分,應當得到認真的管理,,不應當再繼續成為被IT安全人員遺忘的角落。 在談到施樂打印機受到攻擊時,布倫達說,它實際上就是一台Linux 服務器。他能夠利用這種設備安全性中的一個軟肋,獲得它的最高控制權限。 布倫達說,他還調查其它公司的打印機,它們也存在類似的問題,但他沒有披露哪些公司的打印機存在問題。 布倫達表示,一旦控制了打印機,他就可以對一家公司的內部網絡進行掃描,這有助於發動進一步的攻擊。這一攻擊使得它可以獲得通過該打印機打印機、復印、傳真出去的任何資料。 他還能夠修改打印機的內部計數器,如何打印機是租借的,這可能會增加企業的費用。另外,他也可以通過控制打印機而搞一些惡作劇。 布倫達說,施樂打印機的軟肋是不安全的啟動代碼加載過程。另外,在Web 界面,以及簡單網絡管理協議、Telnet等服務的可用性方面也存在缺陷。 施樂在一份聲明中,布倫達在1 月份就向它通報了這一問題,這一問題已經得到了修正。
