image

Mac-gebruikers wachten op updates voor lek in HP-printers

zondag 19 augustus 2018, 11:32 door Redactie, 24 reacties

HP heeft onlangs belangrijke beveiligingsupdates uitgebracht voor ernstige kwetsbaarheden in allerlei printermodellen, maar voor tientallen printers wachten Mac-gebruikers nog op een patch en zijn dus kwetsbaar voor aanvallen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die beide met een 9,8 beoordeeld.

Onderzoekers lieten laatst zien dat het mogelijk is om HP-printers via de beveiligingslekken op afstand over te nemen. Alleen het versturen van een malafide fax is voldoende. Vervolgens kan het achterliggende netwerk worden aangevallen. De kwetsbaarheden zijn in 150 HP-printermodellen aanwezig. HP heeft beveiligingsupdates uitgebracht om de problemen te verhelpen.

Voor 38 HP-printermodellen zijn er echter geen Mac-vriendelijke updates beschikbaar. In dit geval zullen Mac-gebruikers hun printer via een Windows-systeem moeten updaten. Dit kan bijvoorbeeld via Boot Camp, dat het mogelijk maakt om Windows op een Mac te installeren. Hiervoor is echter wel een Windows-licentie vereist. Tegenover securitybedrijf Intego laat HP weten dat er nog meer HP-printerupdates voor mac OS zullen verschijnen, maar voor welke modellen en wanneer wordt niet vermeld.

Reacties (24)
19-08-2018, 11:41 door Anoniem
Virtual Machine of Wine draaien ;)
19-08-2018, 12:32 door karma4
Waar het er echt toe doet is het beheer van die printers uitbesteed.
Laat de dienstverlener de HP printer bijwerken en vraag van hem de verklaring daarover.
19-08-2018, 12:55 door Anoniem
Ik heb wel eens eerder met een printer van HP getobd die een klant van ons neergezet had (zal ook wel vulnerable zijn
geweest voor dit probleem) en toen was het zo dat je hem kon updaten door er een speciaal PDF document heen
te printen. Ik vond dat een nogal risicovolle methode maar het voordeel was natuurlijk wel dat je niet een specifiek
systeem hoefde te hebben. Ik neem aan dat dit zelfs vanaf een MAC werkt, vanuit Linux werkte het in ieder geval 100%
en daar zijn meestal ook geen specifieke tools voor dit soort dingen voor beschikbaar.
19-08-2018, 12:55 door Anoniem
Door karma4: Waar het er echt toe doet is het beheer van die printers uitbesteed.
Laat de dienstverlener de HP printer bijwerken en vraag van hem de verklaring daarover.
Karma, als gewoon huis-, tuin- en keukengebruiker wil ik gewoon op mijn Mac de printer updaten. Klaar. Als HP pretendeert dat hun apparatuur geschikt is voor alle OSsen moeten ze dat ook met hun updates zo houden. Punt.
19-08-2018, 13:00 door Anoniem
Hoezo ben je afhankelijk van of je fabrikant updates specifiek voor je desktop-OS uitbrengt als het probleem zit in een netwerkaangesloten printer-en-fax-ineen? Het is veel logischer en gebruikelijker om een los bestand beschikbaar te maken wat je aan je printer kan voeren ongeacht wel OS er op je desktop staat.
19-08-2018, 13:04 door [Account Verwijderd]
Door Anoniem: Virtual Machine of Wine draaien ;)

Principieel verkeerde oplossing. Weer is een update OS afhankelijk gemaakt. Enige juiste oplossing is een update via de internet verbinding van de printer zelf. Minachting van Mac en Linux gebruikers. Of gewoon laksheid.
19-08-2018, 13:06 door [Account Verwijderd]
Door karma4: Waar het er echt toe doet is het beheer van die printers uitbesteed.
Laat de dienstverlener de HP printer bijwerken en vraag van hem de verklaring daarover.

Ik heb de printer bij HP gekocht en die firma dient dan ook voor updates te zorgen, al dan niet uitbesteed. De vraag moet m.i. dan ook gewoon aan HP gesteld worden.
19-08-2018, 13:37 door -karma4
Door linux4:
Door Anoniem: Virtual Machine of Wine draaien ;)

Principieel verkeerde oplossing. Weer is een update OS afhankelijk gemaakt. Enige juiste oplossing is een update via de internet verbinding van de printer zelf. Minachting van Mac en Linux gebruikers. Of gewoon laksheid.

Ik heb me altijd afgevraagd waarom fabrikanten niet gewoon een bootable USB-stick (of DVD) image kunnen maken dat een bootable besturingssysteem heeft en de software om nieuwe firmware naar hun apparaat te schrijven. Gewoon dat ding in een willekeurige PC, booten en klaar is kees.
19-08-2018, 13:47 door [Account Verwijderd] - Bijgewerkt: 19-08-2018, 13:48
Door linux4:

Principieel verkeerde oplossing. Weer is een update OS afhankelijk gemaakt. Enige juiste oplossing is een update via de internet verbinding van de printer zelf. Minachting van Mac en Linux gebruikers. Of gewoon laksheid.

Eens! Wat het nog bizarder maakt is dat Hewlett-Packard HP-printers onder Linux wèl ondersteunt, maar zodra je een update krijgt mag je het lekker zelf uitzoeken. Erg slecht van HP. Ik ga ze zeker een bericht sturen dat dit natuurlijk zo niet kan. Updates van hun producten moeten inderdaad gewoon door de machine zelf afgehandeld worden, zonder tussenkomst van een OS.
19-08-2018, 14:20 door karma4
Door linux4:
Ik heb de printer bij HP gekocht en die firma dient dan ook voor updates te zorgen, al dan niet uitbesteed. De vraag moet m.i. dan ook gewoon aan HP gesteld worden.
Gebruik je dat ding thuis met een telefoonlijn om faxen te ontvangen?
Zo niet en dat verwacht ik, dan is het probleem niet relevant. Geen fax functie in gebruik, waar maak je je druk om. Ik zit zo'n ding als printer/scanner aan enkel voor de minuten dat ik dat ding nodig heb. Probleem zit in de printer (vermoedelijk Linux) en niet in je desktop dat os op je desktop is niet relevant.
Zoiets wordt problematischer als de protocollen niet meer compatible zijn.

Hebben we het over enterprises, grotere organisaties dan is het desktopbeheer en printerbeheer gewoonlijk bij derden belegt. Alleen op specifieke werklocaties is er dan nog een fax functie. Denk aan logistiek (verzenden ontvangen fysieke goederen en contractmanagement.
19-08-2018, 14:21 door Anoniem
Door The FOSS:Ik heb me altijd afgevraagd waarom fabrikanten niet gewoon een bootable USB-stick (of DVD) image kunnen maken dat een bootable besturingssysteem heeft en de software om nieuwe firmware naar hun apparaat te schrijven. Gewoon dat ding in een willekeurige PC, booten en klaar is kees.
Omdat je dan deze versie moet onderhouden? Immers nieuwste hardware moet ook op deze USB stick werken. Je moet er voor zorgen dat gebruikers de DVD of USB stick moeten kunnen maken. Daarna moet de printer eventueel ook nog gevonden kunnen worden, wat weer netwerk afhankelijkheden heeft en eventueel USB (hardware) ondersteuning. Je moet ook nog eens er van kunnen booten, dus eventueel BIOS settings die aangepast moeten worden.

En dit zou allemaal door een normale gebruiker gedaan moeten worden? Veel te complex.

Allemaal best veel lastige dingen om dat te gaan ondersteunen.....
19-08-2018, 15:39 door Briolet
Waarom hebben die printers geen web interface. Dan ben je OS onafhankelijk. Heel veel andere HP printers hebben wel een webinterface. Bij sommige HP printers is dat interface zelfs per default vanaf het internet benaderbaar.

In elk geval weet je als mac gebruiker dat diverse HP printers niet Mac compatibel zijn, omdat je ze niet kunt updaten zonder mac. (Ook al worden ze als mac compatibel verkocht)
19-08-2018, 15:52 door Briolet - Bijgewerkt: 19-08-2018, 15:54
Door karma4: Gebruik je dat ding thuis met een telefoonlijn om faxen te ontvangen?
Zo niet en dat verwacht ik, dan is het probleem niet relevant.

Hoezo is dat niet relevant? Het gaat hier om twee bugs. Alle twee met gevaarlijkheid 9.8 ingeschaald door HP.

Als je de eerste printer uit dat lijstje van HP bekijkt, is dat een model zonder mogelijkheid om er een telefoonplug in te stoppen. (Bekijk het plaatje van de achterkant maar eens: https://store.hp.com/NetherlandsStore/Merch/Product.aspx?id=J6U57B&opt=A81&sel=PRN)

Het gaat ook om bestanden die naar de printer gestuurd worden, via de lan kabel.
19-08-2018, 16:26 door [Account Verwijderd]
Door Briolet: Waarom hebben die printers geen web interface. Dan ben je OS onafhankelijk. Heel veel andere HP printers hebben wel een webinterface. Bij sommige HP printers is dat interface zelfs per default vanaf het internet benaderbaar.

In elk geval weet je als mac gebruiker dat diverse HP printers niet Mac compatibel zijn, omdat je ze niet kunt updaten zonder mac. (Ook al worden ze als mac compatibel verkocht)

Dat zou inderdaad een mooie oplossing zijn. Liefst alleen vanuit het lokale netwerk te benaderen, net als mijn router. Toegang van buitenaf introduceert weer andere veiligheid risico's.
19-08-2018, 19:39 door karma4
Door Briolet:
Hoezo is dat niet relevant? Het gaat hier om twee bugs. Alle twee met gevaarlijkheid 9.8 ingeschaald door HP.
...
Het gaat ook om bestanden die naar de printer gestuurd worden, via de lan kabel.
Ik las nergens dat het twee aparte bugs zijn. Enkel dat het fax gerelateerd was en net name kleuren jpeg. De fax is ongecontroleerd van buiten en daarmee potentieel risicovol.

Neem aan dat het in het jpeg deel zit. Dan moet er een desktop gecompromitteerd zijn waar die malware gecraft jpeg vandaan komt. Dan heb je meet een insider te maken die je buiten moet plaatsen. Met een gecompromitteerde doos je meer aan te pakken.
Als je dat thuis zelf bent, tegen je zelf beschermen is nogal lastig. Ik ga uit van geen fax en enkel als printer in gebruik.
19-08-2018, 22:11 door Briolet - Bijgewerkt: 19-08-2018, 22:12
Door karma4: Ik las nergens dat het twee aparte bugs zijn. Enkel dat het fax gerelateerd was en net name kleuren jpeg. De fax is ongecontroleerd van buiten en daarmee potentieel risicovol.

Hierboven hebben ze het al over 'beide'. Ze hebben ook twee CVE nummers (CVE-2018-5924 & CVE-2018-5925). Bij geen van beide CVE's lees ik wat over faxen, maar alleen over zenden van files naar het apparaat.

In de CVE's vind ik wel een referentie naar een uitgebreide analyse van de ontdekkers van de bug's, die erg op elkaar lijken. Daar gaat het inderdaad over een jpeg bestand als kleurenfax via een telefoonlijn: https://research.checkpoint.com/sending-fax-back-to-the-dark-ages/
Alleen vreemd dat de eerste de beste printer, uit het HP lijstje wat ik bekeken heb, geen telefoon/fax ingang heeft.

Verontrustender is dat de onderzoekers alleen bepaalde HP printers onderzocht hebben en aangeven dat de kans redelijk is dat ook andere merken een vergelijkbare bug hebben omdat het probleem meer met het faxprotocol zelf te maken heeft.
Tja, ik heb een faxprinter van Canon die ook kleur-faxen kan ontvangen. Ik heb er wel geen kleuren cardridge in zitten maar dat maakt niet uit voor een bug. Gelukkig hangt die fax niet in de LAN.

-----

Maar terug naar het topic over de mac: Ik lees van diverse eigenaren dat hun printers zichzelf geüpdate hebben. Dus zeken een deel van de betroffen printers zijn helemaal niet afhankelijk van een externe PC voor het updaten.
20-08-2018, 08:44 door Anoniem
Door karma4: Waar het er echt toe doet is het beheer van die printers uitbesteed.
Laat de dienstverlener de HP printer bijwerken en vraag van hem de verklaring daarover.
Door karma4: Gebruik je dat ding thuis met een telefoonlijn om faxen te ontvangen?
Tussen particuliere gebruikers en ondernemingen die groot en qua IT georganiseerd genoeg zijn om beheer uit te besteden zit nog een hele lappendeken aan eenmanszaken en kleinere ondernemingen die qua IT-gebruik amper geavanceerder zijn dan die thuisgebruiker. En daar zitten Mac-gebruikers tussen, dat is altijd een erg populair platform geweest in de grafische en muziekindustrie, bijvoorbeeld. Er zijn hele menigten aan vormgevers en musici die als ZZP'er werken.

Als je alleen naar de werkelijkheid kijkt vanuit het perspectief van grote, professioneel werkende IT-organisaties dan sla je een heleboel over. Deze site heet security.nl, niet corporate-security.nl.
20-08-2018, 12:05 door ph-cofi
Firewall ertussen. HP printer nooit naar buiten en ook nooit meer te vinden van buiten. Barst maar met de update, HP niet te vertrouwen.
Ik heb in het verleden een portscan gedaan op mijn HP netwerkprinter en het blijkt dat er software op draait om de flatbadscanner op afstand aan te sturen -- er zit geen fladbedscanner in. Niet om gevraagd, niet uit te zetten in de webinterface, duidelijk sprake van "either you control your software or it controls you".
20-08-2018, 13:34 door Anoniem
Dat was dan mijn laatste HP printer, ik ga wel iemand zoeke die het beter doet.
20-08-2018, 14:59 door Anoniem
Door ph-cofi: Firewall ertussen. HP printer nooit naar buiten en ook nooit meer te vinden van buiten. Barst maar met de update, HP niet te vertrouwen.

Door Anoniem: Dat was dan mijn laatste HP printer, ik ga wel iemand zoeke die het beter doet.
En je denkt dat andere leveranciers allemaal geen software problemen hebben?
Keep dreaming.....
20-08-2018, 15:18 door -karma4 - Bijgewerkt: 20-08-2018, 15:28
Door Anoniem:
Door The FOSS:Ik heb me altijd afgevraagd waarom fabrikanten niet gewoon een bootable USB-stick (of DVD) image kunnen maken dat een bootable besturingssysteem heeft en de software om nieuwe firmware naar hun apparaat te schrijven. Gewoon dat ding in een willekeurige PC, booten en klaar is kees.
Omdat je dan deze versie moet onderhouden? Immers nieuwste hardware moet ook op deze USB stick werken.

Ik bedoel een USB-stick (of DVD) image.

Door Anoniem: Je moet er voor zorgen dat gebruikers de DVD of USB stick moeten kunnen maken.

Het gedownloade image moet inderdaad door de gebruiker op een USB-stick of DVD worden gezet.

Door Anoniem: Daarna moet de printer eventueel ook nog gevonden kunnen worden, wat weer netwerk afhankelijkheden heeft en eventueel USB (hardware) ondersteuning. Je moet ook nog eens er van kunnen booten, dus eventueel BIOS settings die aangepast moeten worden.

Dat vinden van de printer is op zich niet verschillend van wat je onder Windows of macOS zou doen. Echter het kan inderdaad zo zijn dat je bv. het WiFi-wachtwoord moet invoeren.[/quote]
Door Anoniem: En dit zou allemaal door een normale gebruiker gedaan moeten worden? Veel te complex.

Ik snap waar je heen wilt, dat wordt helaas inderdaad veel te moeilijk voor de doorsnee gebruiker. Toch zou ik blij zijn met het aanbieden van deze extra mogelijkheid voor de gevorderde gebruiker die geen Windows of macOS draait.

Misschien gaat WebUSB ooit uitkomst bieden. Fijn met JavaScript (?) rechtstreeks vanaf een web pagina updaten :-)

https://developers.google.com/web/updates/2016/03/access-usb-devices-on-the-web
22-08-2018, 13:45 door Anoniem
Door Anoniem: Virtual Machine of Wine draaien ;)


Wat bedoel je nu eigenlijk met ;)
achter je opmerking te plaatsen?
Moet het nu vriendelijker klinken of als grapje beschouwt worden?


Waarom zou ik iets anders installeren op m'n macbook? Geen verstand van, wil ik niet, hoef ik niet.
Laat de industrie nou maar eens de boel netjes op orde brengen ipv half bakken en gare meuk bij consumenten achter te laten en daarna te roepen dat het de consument z'n fout is want die heeft er geen verstand van.

zucht. zo klaar met die kut IT industrie. En Security al helemaal. Gebruikers de schuld geven van een te complexe incomplete materie. Maar ze wel afhankelijk maken ervan, om toch schuld weer bij ze neer te leggen.
22-08-2018, 14:39 door [Account Verwijderd] - Bijgewerkt: 22-08-2018, 15:00
Ik heb zojuist even een update uitgevoerd op mijn HP printer, maar dat ging prima onder Linux. Zie screenshot:
https://static.afbeeldinguploaden.nl/1808/453089/Ov9Bvu1Q.png

Onder de nieuwere types printers kan er blijkbaar wèl direct vanuit een webomgeving worden geüpdatet. Valt me weer mee van HP.

Naschrift na de update: Ja hoor, gelukt. Gewoon via de webomgeving. Zie hier: https://static.afbeeldinguploaden.nl/1808/453138/5U6MvAkW.png
24-08-2018, 08:25 door -karma4 - Bijgewerkt: 24-08-2018, 08:26
Door Unix4: Ik heb zojuist even een update uitgevoerd op mijn HP printer, maar dat ging prima onder Linux. Zie screenshot:
https://static.afbeeldinguploaden.nl/1808/453089/Ov9Bvu1Q.png

Onder de nieuwere types printers kan er blijkbaar wèl direct vanuit een webomgeving worden geüpdatet. Valt me weer mee van HP.

Naschrift na de update: Ja hoor, gelukt. Gewoon via de webomgeving. Zie hier: https://static.afbeeldinguploaden.nl/1808/453138/5U6MvAkW.png

Wauw... Dat is inderdaad een heel fijne en goede ontwikkeling! Voor mijn Sony camera zijn ze nog niet zo ver. Daarvoor heb ik mijn oude PC met Windows 10 weer eens moeten opstarten. Een dag later was hij klaar met updaten en ging de cpu-load genoeg omlaag om de firmware van mijn camera te kunnen flashen met een update.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.