惠普推出全球首个打印机漏洞奖励计划 最高奖金1万美元

聚焦源代码安全，网罗国内外最新资讯！

作者：Eduard Kovacs 和

Lindsey O'Donnell

翻译：360代码卫士团队

刚刚，惠普宣布推出打印机漏洞奖励计划，最高奖励为1万美元。

惠普表示，这是行业内的首个漏洞奖励计划，由惠普和众筹安全平台 Bugcrowd 联合推出。

漏洞奖励计划内容

受邀制。该漏洞奖励计划不对外公开，受邀研究员的主要任务是找到固件级别的漏洞，包括远程代码执行漏洞、跨站请求伪造漏洞和跨站脚本漏洞。目前参与计划的研究员人数为34人。

奖金。奖金范围是500美元至1万美元，不过惠普并未详细说明奖金所对应的漏洞类型。如果研究员报告的是此前惠普曾发现的漏洞，那么也会得到一笔“善意付款”。

覆盖产品。目前覆盖 HP LaserJet Enterprise 打印机和 MFPs（A3和A4）以及 HP PageWide Enterprise 打印机和 MFPs（A3和A4）。该计划仅覆盖端点设备，和打印机相关的 web 域名不在该计划内，主要关注打印机固件的安全问题。

惠普表示，虽然不久会将该漏洞奖励计划扩展至个人电脑产品线，但目前只关注打印机，原因是人们担心随着打印机技术的进步，打印机将成为恶意人员的目标。

不断增长的打印机漏洞威胁

惠普表示，打印机不仅能够提供对打印机所在网络的访问权限，而且还能暴露敏感文档。

Bugcrowd 最近发布报告称，最近出现最多的攻击者主要关注的是端点设备，而且去年行业内的打印漏洞数量增长了21%。这种威胁趋势也在惠普打印机中有所体现。去年，惠普修复了几十个企业级的打印机机型中的任意代码执行漏洞。也是在去年，研究人员在广受欢迎的打印机机型（包括惠普品牌）中找到6个漏洞，导致攻击者窃取打印任务并执行缓冲溢出攻击。

https://www.securityweek.com/hp-launches-bug-bounty-program-printers

https://threatpost.com/hp-offers-up-to-10000-rewards-for-printer-bugs/134567/