Le stampanti sono spesso l'anello più debole in un'organizzazione, con vulnerabilità della stampante sfruttati in varie campagne remoto per compromettere intere reti.
Una tale vulnerabilità è stata descritta in 2017, e ha permesso agli hacker di effettuare attacchi di esecuzione di codice remoto su stampanti di livello enterprise.
Il difetto in questione è stato identificato come CVE-2017-2750 ed è stato segnalato per HP nel mese di agosto dello scorso anno. stampanti interessati inclusi HP Color LaserJet Enterprise M651, HP Color LaserJet Enterprise M652, HP Color LaserJet Managed E65060, HP LaserJet Enterprise 800 MFP a colori M880, tra gli altri.
Si tratta infatti di HP (Hewlett Packard) che è dietro una nuova iniziativa per stimolare i ricercatori a individuare le vulnerabilità in stampanti. HP ha appena annunciato che inviterà white hat hacker per testare le proprie stampanti per i bug che gli hacker potrebbero sfruttare per scopi dannosi. Il bug bounty one-of-a-re programma viene lanciato in collaborazione con la piattaforma bug bounty Bugcrowd.
Come sarà la stampante HP Bug Bounty lavoro?
L'azienda sta offrendo una taglia nelle dimensioni di $10,000 in quello che sembra essere una taglia bug privato, che è stato creato appositamente per l'hardware di stampa HP. La decisione di lanciare un programma del genere è una mossa intelligente in quanto le stampanti aziendali sono di solito in una rete, che rende molto facile per gli hacker di abbattere intere organizzazioni.
Secondo una 2018 rapporto by Bugcrowd, dispositivi endpoint sono sempre più presi di mira da attori maligni, con un 21 per cento di aumento totale bug endpoint segnalati nell'ultimo anno. Così, HP ha deciso di lanciare una stampante solo programma divulgazione della vulnerabilità incoraggiando i ricercatori a scoprire e segnalare i bug. A seconda della scala della vulnerabilità, taglie bug varieranno tra $500 e $10,000.
Va notato che il programma di taglie sarà gestito da Bugcrowd. Il programma sta per essere privato, il che significa che i ricercatori che già hanno collaborato con Bugcrowd saranno invitati a partecipare. Ciò nonostante, il programma può essere a disposizione del pubblico in un certo tempo.
Quale sarà HP fare? La società impostare le stampanti di classe enterprise che i ricercatori avranno l'accesso remoto a. I ricercatori potranno sondare le stampanti HP per le vulnerabilità che non è a conoscenza di. Tuttavia, questo non significa che le vulnerabilità scovate attraverso l'accesso fisico non sono consentiti. V'è già un caso in cui HP spedito almeno un dispositivo ad un ricercatore che lo ha richiesto. Ancora, HP è focalizzata principalmente sulla ricerca di informazioni sugli attacchi remoti.