10000 đô sẽ được trao cho người tìm ra lỗ hổng trong máy in HP

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

HP cho biết lần đầu tiên công ty này đưa ra chương trình trao thưởng lên tới 10000 đô cho người tìm ra lỗ hổng trong máy in HP. securitydaily 10000 đô sẽ được trao cho người tìm ra lỗ hổng trong máy in HP Thứ 3 vừa qua, HP hợp tác với Bugcrowd tung ra chương trình tìm lỗ hổng trao thưởng với giá trị giải thưởng từ 500 đô tới 10000 đô.

Shivaun Albright, kỹ thuật viên trưởng của HP về bảo mật máy in nói: “Từ lâu, HP đã áp dụng các phương thức để các nhà nghiên cứu có thể hợp tác tìm ra lỗ hổng trong máy in HP với bên chúng tôi. Nhưng đây là chương trình tìm lỗ hổng trong máy in HP đầu tiên và cũng là chương trình tìm lỗ hổng trao thưởng cho máy in đầu tiên trên thế giới được hợp tác tổ chức bởi một bên thứ ba.”

Công ty này trao đổi với Threatpost rằng họ đang tìm kiếm các lỗ hổng trong máy in HP khó tìm thấy mà có thể bị lợi dụng để gây hại cho người sử dụng. HP cho biết họ đặc biệt tập trung vào các lỗi nguy hiểm tiềm ẩn ở cấp phần mềm hệ thống (firmware), trong đó bao gồm CSRF, RCE, và XSS. Bugcrowd và HP đang đánh giá từng báo cáo lỗ hổng trong máy in HP và trao thưởng cho các nhà nghiên cứu dựa trên mức độ nghiêm trọng của lỗ hổng (từ 500 đô đến 10000 đô). Nhiều nhà nghiên cứu sẽ được mời tham gia chương trình tìm lỗ hổng này. Máy in đủ điều kiện tham gia chương trình bao gồm dòng máy in doanh nghiệp HP PageWide, HP Color LaserJet và một số máy dòng in đa chức năng MFP (cả định dạng A3 và A4).

“Những kẻ tấn công đã tinh vi lên một cách đáng kể, và độ tinh vi của chúng ngày càng cao.” Albright nói với Threatpost.

Theo hướng dẫn chương trình, các lỗ hổng trong máy in HP được tìm thấy phải được báo cáo cho Bugcrowd. Lỗ hổng đã được HP phát hiện từ trước vẫn sẽ được đánh giá và trao thưởng nếu hợp lí. Bugcrowd sẽ xác minh lỗi và thưởng cho các nhà nghiên cứu dựa trên mức độ nghiêm trọng của lỗ hổng trong máy in HP được tìm thấy. Tổ chức này sẽ gửi hướng dẫn tới những người tham gia chương trình. HP cho biết chương trình tìm lỗi trao thưởng này kéo dài vô thời hạn, công ty cũng sẽ mở rộng chương trình áp dụng cho các dòng máy tính HP. Lỗ hổng trong máy in là một mối đe dọa ngày càng đáng lo ngại. Theo một báo cáo gần đây của Bugcrowd, những kẻ tấn công đang tập trung vào các thiết bị endpoint – và tổng lỗ hổng trong máy in toàn bộ các hãng đã tăng 21% trong năm qua. HP cũng chịu những mối đe dọa tương tự mặc dù đây là công ty được khách hàng tin cậy trong ngành công nghệ máy in. Năm ngoái, HP đã phải vá hàng chục dòng máy in vì một lỗ hổng thực thi mã tùy ý (arbitrary code execution). Cùng thời điểm đó, các nhà nghiên cứu cũng tìm ra một số lỗ hổng trong các dòng máy in phổ biến, bao gồm cả máy in của HP cho phép kẻ tấn công lấy tài liệu in và gây tràn bộ nhớ.

Albright phát biểu: “Khi chúng ta hoạt động trong một thế giới ngày càng phức tạp của các mối đe dọa trên không gian mạng, những người đi đầu trong ngành công nghiệp cần tận dụng mọi nguồn lực có thể để mang đến sự tin cậy và an toàn ngay từ phần mềm hệ thống. HP cam kết sẽ mang lại cho khách hàng những chiếc máy in an toàn nhất thế giới.”

Threatpost