Millones de impresoras LaserJet de Hewlett-Packard Co. ‘s contienen una debilidad de seguridad que podría permitir a un atacante tomar el control de los sistemas, robar información y datos y ejecutar comandos que podrían causar que los dispositivos de recalentarse e incendiarse, según dos investigadores de la Universidad de Columbia .

Impresoras de otros fabricantes probablemente tienen el mismo problema, dejando a los usuarios de los dispositivos expuestos a amenazas similares, dijeron los investigadores.

Los investigadores de seguridad los resultados fue publicado por primera vez por MSNBC.com el día de hoy.

En respuesta, HP restó importancia a las reclamaciones de los investigadores, etiquetándolos como “sensacional e inexacta.”

“Mientras HP ha identificado una vulnerabilidad de seguridad con algunas impresoras HP LaserJet, ningún cliente ha reportado el acceso no autorizado”, dijo la compañía.

Refutó las informaciones de que el fallo se establece que los hackers impresoras LaserJet en el fuego y dijo que los mecanismos de seguridad incorporados en las impresoras impide que eso suceda.

La falla en las impresoras LaserJet de HP fue descubierto por el profesor Salvatore Stolfo del Departamento de Informática en la Escuela de la Universidad de Columbia de Ingeniería y Ciencias Aplicadas y Cui su colega investigador de seguridad Ang.

La vulnerabilidad existe en el proceso remoto del firmware de la impresora LaserJet de actualización. Debido a las medidas de autenticación débil, las impresoras pueden ser engañados en el firmware de aceptar arbitrariamente modificado por cualquier persona con acceso lógico al dispositivo, Stolfo dijo en una entrevista.

Las impresoras LaserJet que se probaron no requieren actualizaciones de firmware para ser firmado digitalmente, permitiendo que cualquiera pueda instruir esencialmente la impresora para borrar su software operativo existente y sobrescribir con una maliciosa.

Los atacantes podrían tomar el control total de la impresora y volver a escribir su software de modo que sería imposible para restablecerla, se dijo. “Es una falla de seguridad muy mal”, dijo Stolfo.

Stolfo dijo que él y Cui investigó tres modelos LaserJet populares y descubrió la misma debilidad en los tres. Los investigadores no han revelado el número de modelo específico.

Todo lo que se requiere para comprometer las impresoras era un trabajo de impresión creada de manera malintencionada, ya sea enviado por alguien con acceso a la impresora o por alguien de forma remota si la impresora está conectada directamente a Internet, de acuerdo con Stolfo.

La falla permite a los atacantes robar documentos de una impresora en peligro, o para utilizar el dispositivo como una plataforma de lanzamiento para atacar a las computadoras conectadas a ella. La vulnerabilidad también permite a los atacantes ejecutar un comando que podrían causar que el fusor de la impresora, que se utiliza para secar la tinta, para empezar a calentar. Al menos en teoría, que podría hacer que el papel de impresión a un incendio.

De acuerdo con Stolfo, durante una manifestación, que fue capaz de conseguir el fusor en una impresora LaserJet suficientemente caliente como para causar que el papel de la impresora de color marrón y empezar a fumar. Sin embargo, un mecanismo de seguridad incorporado en la impresora causó el error de una manera segura antes de que pudiera incendiarse.

No está claro si el mismo tipo de mecanismo de seguridad que existe en las impresoras de otros fabricantes, agregó.

Stolfo dijo que Cui y descubrió la vulnerabilidad LaserJet al hacer la investigación sobre las vulnerabilidades en un solo propósito los dispositivos integrados, tales como impresoras, routers, teléfonos VoIP y termostato digital. Los dos investigadores planean lanzar un documento formal que describe sus hallazgos después de que HP ha tenido la oportunidad de mitigar el problema, dijo.

HP no respondió de inmediato a una solicitud de comentarios. En su declaración, HP dijo que está trabajando en una actualización de firmware para el problema. Sin embargo, minimizó la amenaza.

“La vulnerabilidad específica que existe para algunos dispositivos HP LaserJet si se colocan en un internet público sin un servidor de seguridad”, dijo la compañía. “En una red privada, algunas impresoras pueden ser vulnerables si un esfuerzo malicioso se hace para modificar el firmware del dispositivo por una parte de confianza en la red.”

Impresoras LaserJet en algunos entornos Linux o Mac podría verse comprometida por alguien que envía el dispositivo de un trabajo de impresión corrupto, dijo la compañía.

“La especulación con respecto al potencial de los dispositivos de un incendio debido a un cambio de firmware es falsa”, señaló HP. Un elemento de hardware conocido como un interruptor térmico impide que las impresoras LaserJet de sobrecalentamiento o causar un incendio. “No puede ser superada por un cambio de firmware o de esta vulnerabilidad propuesto”, dijo HP.

Jaikumar Vijayan abarca la seguridad de datos y la privacidad, la seguridad de los servicios financieros y el voto electrónico para Computerworld. Siga Jaikumar en Twitter en @ jaivijayan o suscribirte al feed RSS de Jaikumar. Su dirección de correo electrónico está jvijayan@computerworld.com.

Lea más acerca de la seguridad en el Centro de Seguridad de Computerworld tema.