Cisco heeft een ernstige kwetsbaarheid in Epson-projectors openbaar gemaakt waardoor de apparaten op afstand zijn over te nemen en een beveiligingsupdate is nog niet beschikbaar. Het gaat om de Epson EB-1470UI-projector die via internet is te bedienen. Gebruikers moeten zich echter authenticeren om toegang tot de printer te krijgen.

Onderzoeker Yuri Kramarz van Cisco ontdekte dat het mogelijk is om de authenticatie van de "EPSON Web Control" te omzeilen en volledige controle over de projector te krijgen. Hiervoor hoeft een aanvaller alleen verschillende http-requests te versturen, zo staat in een uitleg van de kwetsbaarheid vermeld. In een aankondiging van de kwetsbaarheid meldt Cisco dat slachtoffers eerst een pagina van de aanvaller moeten openen. Vervolgens kan de aanvaller volledige toegang tot de configuratiegegevens krijgen en deze gegevens wijzigen. Ook is het mogelijk om de projector te resetten en uit te schakelen.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Cisco waarschuwde Epson op 17 februari van dit jaar en gaf de fabrikant negentig dagen de tijd om het probleem te verhelpen. Aangezien Epson niet op tijd met een update is gekomen heeft Cisco de details nu openbaar gemaakt.

Bron: Security.nl