Wie "Heise" unter Bezug auf den indischen Online-Dienst "CRN" berichtet, ist bei zehn Modellen aus HPs Laserjet-Familie eine Schwachstelle entdeckt worden, die es Angreifern ermöglicht, über das Netzwerk ohne Authentifizierung Passwörter auszulesen oder die Verschlüsselung zu deaktivieren.
Wie der deutsche Sicherheitsexperte und Entdecker des Lecks, Christoph von Wittich, gegenüber "CRN"
berichtet, habe er die Schwachstelle bei einem routinemässigen Netzwerk-Scan entdeckt: "Die Drucker wiesen einen offenen Telnet-Port auf, was ich nicht erwartet hätte." Und weiter: "Ich versuchte, mich über den Port mit einem Telnet-Client zu verbinden, und stiess auf eine Debug-Shell, die ein Abschalten der SSL-Kommunikation mit den
HP Eprint Cloud Servern erlaubte und die Passwörter als Plain Text zeigten."
Mittlerweile hat sich auch das dem Homeland Security angehörende US-Cert der Sache angenommen und
warnt in einem Advisory vor dem Leck.
Konkret sind folgende Laserjet-Pro-Modelle betroffen: P1102w, P1606dn, M1212nf, M1213nf, M1214nfh, M1216nfh, M1217nfw, M1218nfs, M1219nf sowie CP1025nw.
HP hat mittlerweile
Firmware-Updates für die betroffenen Drucker bereitgestellt.
(rd)