惠普推出全球首个打印机漏洞奖励计划 最高奖金1万美元
作者:Eduard Kovacs 和 Lindsey O'Donnell
翻译:360代码卫士团队
刚刚,惠普宣布推出打印机漏洞奖励计划,最高奖励为1万美元。
惠普表示,这是行业内的首个漏洞奖励计划,由惠普和众筹安全平台 Bugcrowd 联合推出。
漏洞奖励计划内容
受邀制。该漏洞奖励计划不对外公开,受邀研究员的主要任务是找到固件级别的漏洞,包括远程代码执行漏洞、跨站请求伪造漏洞和跨站脚本漏洞。目前参与计划的研究员人数为34人。
奖金。奖金范围是500美元至1万美元,不过惠普并未详细说明奖金所对应的漏洞类型。如果研究员报告的是此前惠普曾发现的漏洞,那么也会得到一笔“善意付款”。
覆盖产品。目前覆盖 HP LaserJet Enterprise 打印机和 MFPs(A3和A4)以及 HP PageWide Enterprise 打印机和 MFPs(A3和A4)。该计划仅覆盖端点设备,和打印机相关的 web 域名不在该计划内,主要关注打印机固件的安全问题。
惠普表示,虽然不久会将该漏洞奖励计划扩展至个人电脑产品线,但目前只关注打印机,原因是人们担心随着打印机技术的进步,打印机将成为恶意人员的目标。
不断增长的打印机漏洞威胁
惠普表示,打印机不仅能够提供对打印机所在网络的访问权限,而且还能暴露敏感文档。
Bugcrowd 最近发布报告称,最近出现最多的攻击者主要关注的是端点设备,而且去年行业内的打印漏洞数量增长了21%。这种威胁趋势也在惠普打印机中有所体现。去年,惠普修复了几十个企业级的打印机机型中的任意代码执行漏洞。也是在去年,研究人员在广受欢迎的打印机机型(包括惠普品牌)中找到6个漏洞,导致攻击者窃取打印任务并执行缓冲溢出攻击。
关联阅读
原文链接
https://www.securityweek.com/hp-launches-bug-bounty-program-printers
https://threatpost.com/hp-offers-up-to-10000-rewards-for-printer-bugs/134567/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。