Säkerhetskonsulter på F-Secure har funnit säkerhetsbrister i över 150 modeller av multifunktionsskrivare, vilka är uppkopplade till ett nätverk och kan skanna, skriva ut och mejla dokument, som tillverkats av amerikanska HP sedan år 2013.
Dessa sårbarheter har kunnat utnyttjas för att stjäla information som passerat genom skrivaren, i form av olika dokument, men även för att ta sig in i nätverket som enheten är uppkopplad till, enligt it-säkerhetsbolaget.
”Det innebär att en angripare har kunnat få tillgång till känslig information eller använda skrivaren för att plantera 'ransomware' (utpressningsvirus, Di:s anm.) och kidnappa ett helt bolags filer”, säger Martin Lindgren, Sverigechef på F-Secure.
Skrivarprodukter glöms ofta bort i diskussioner om it-säkerhet, tillägger han.
”De är nästan som vilken annan dator som helst, men uppdateras kanske inte samma omfattning vilket gör att de är sårbara”, säger Martin Lindgren.
Fynden i bolagets undersökning delades med HP som i början på november släppte nya uppdateringar som täpper igen säkerhetsluckorna. HP har även publicerat säkerhetsråd för de aktuella produkterna, uppger F-Secure i ett pressmeddelande.
Det finländska it-säkerhetsbolaget har dock inte funnit några bevis för att någon attack utförts via HP:s skrivarmodeller. Det krävs också stor kunskap för att iscensätta ett sådant angrepp, betonar Martin Lindgren.
”Det är framför allt kriminella cyberligor och statsmakter som har den kapaciteten”, säger han.
HP:s globala marknadsandel inom skrivarprodukter uppgår till runt 40 procent, enligt analysföretaget IDC. Det är därför högst sannolikt att skrivarmodeller med sårbarheter används av mängder av svenska företag och privatpersoner.
”Vi har ingen siffra på det, men HP är en betydande it-leverantör i Sverige. Den här typen av skrivare hittar du i allt från stora till små svenska företag”, säger Martin Lindgren.
Är du förvånad över att en så pass etablerad aktör som HP haft de här bristerna i sina produkter?
”Egentligen inte. Det är människor som skriver koden till olika applikationer eller system och ibland är det den mänskliga faktorn som gör att sårbarheter uppstår.”
Martin Lindgren påminner om att 90 procent av alla it-attacker inleds med ett mejl, vilket även gäller med skrivare som ingångspunkt.
”Det kan räcka med att någon som är uppkopplad mot en skrivare luras att klicka på en länk.”
