Российская компания Fplus выявила критические уязвимости в принтерах и МФУ HP и Xerox, позволяющие злоумышленникам получать доступ к конфиденциальным документам и учетным данным. Несмотря на это, оборудование этих марок продолжает поставляться в государственные учреждения, включая объекты КИИ.
Эксперты российской компании Fplus в ходе исследования принтеров и многофункциональных устройств марок HP и Xerox обнаружили критические уязвимости. Согласно их выводам, злоумышленники могут использовать эти уязвимости для получения данных с подключенных компьютеров, а также доступа к сканируемым документам.
Как сообщается, результаты исследования были направлены в адрес заместителя министра промышленности и торговли. В документе указывается, что во всех изученных моделях были выявлены программно-аппаратные уязвимости. Они открывают возможность несанкционированного доступа к веб-интерфейсу управления устройствами, другим сервисам, а также к документам, отправляемым на печать или сканирование.
Среди конкретных угроз выделяется уязвимость, позволяющая изменять конфигурацию принтера и перенаправлять учетные данные пользователей на сервер, контролируемый злоумышленниками. Другая уязвимость связана с адресной книгой и позволяет изменять IP-адрес сервера для удаленного доступа к файлам, что также приводит к перехвату учетных данных.
Кроме того, в исследовании утверждается, что устройства марки HP без уведомления пользователя передают данные по нескольким IP-адресам. Часть из этих адресов принадлежит глобальным торговым площадкам, а назначение других установить не удалось, как и определить точный состав передаваемой информации. Также отмечается, что компания HP обладает возможностью удаленного контроля над своими устройствами.
При этом, несмотря на уход этих компаний из России, техника марок HP и Xerox продолжает поставляться в государственные учреждения, включая те, что относятся к объектам критической информационной инфраструктуры.
В 2025 году госзаказчики по 44-ФЗ потратили 8,2 млн рублей на покупку принтеров HP, на принтеры Xerox было проведено восемь тендеров на сумму 8,5 млн рублей. По 223-ФЗ на принтеры HP было опубликовано семь тендеров на 5 млн рублей, а на принтеры Xerox — четыре тендера на 2 млн рублей.