(Por El Microsaurio) No es novedad, y lo interesante es que los
chicos malos sigan intentando viejos trucos, según parece, con singular
éxito. Según una nota de seguridad HP aparecida el 7 de octubre, muchas impresoras laser de Hewlett Packard que contienen el software de control vía browser llamado Jetdirect, o el Embedded Web Server (EWS), tienen varias fallas de seguridad, oportunamente investigadas e informadas por la empresa rusa Digital Security Research Group. Esas máquinas también sirven para entrar sin permiso.
Estos defectos permiten que un atacante meta código en un website
maligno, y el ganso de turno lo visite mientras (oh, casualidad) tiene
otra ventana del navegador abierta, porque está trabajando en la
ventanita de control de la impresora de la empresa. El atacante, sin
agradecer al ganso de turno, podrá inyectar código en la página de
control de la impresora y hacer algún desastre con esa información.

Los muchachos de HP aconsejan (traduzco/copio/comento):

  • poner un password de administrador (y… si trabajás sin password te estás buscando problemas desde el vamos…)
  • arrancar una instancia nueva del navegador para hacer tareas de administración
  • no visitar ningún website mientras esté realizando tareas de administración de la impresora
  • cerrar el navegador cuando termine las tareas de administración de la impresora

Remachamos: no hagas otra cosa en Internet mientras estés
administrando la impresora desde el navegador. Cerrá el Hotmail, dejá
de bajar música, no busques más websites porno mientras no te mira el
jefe. Pará con eso cinco minutos, administrá la impresora, cerrá la
página de administración y después recién dale para adelante con las
chichis o el webmail.

Productos afectados:

  • Impresoras HP LaserJet, Color LaserJet y los costosos (tres mil
    verdes) HP Digital Senders; que tengan instalado el mencionado Embedded
    Web Server.
  • Los mismos equipos que mencioné arriba, pero que usen el software
    Jetdirect cuyas versiones estén entre la 28 y la 36, según el producto.

Curiosamente, además de los consejos previamente copiados, en la
nota de seguridad “HPSBPI02463 SSRT090061 rev.1” no encontré ninguna
mención a si van a distribuir un software nuevo o cosa parecida.

Por suerte no tengo máquinas de esas en mi taller. A los que les
toque, llamen a su proveedor favorito y averigüen. Si HP tiene ganas de
aclarar algo, soy todo orejas.

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.