Αυτή την εβδομάδα, η HP δήλωσε σε ένα δελτίο ασφαλείας ότι θα χρειαστεί έως και 90 ημέρες για να διορθώσει μια βασική ευπάθεια στο firmware ορισμένων εμπορικών εκτυπωτών.
Οι εκτυπωτές HP Enterprise LaserJet και HP LaserJet Managed Printer, περίπου 50 μοντέλα συνολικά, έχουν εντοπιστεί ως ευάλωτοι σε ένα πρόβλημα ασφαλείας που γίνεται track με το CVE-2023-1707.
Η εταιρεία προσδιόρισε βαθμό σοβαρότητας 9,1/10 χρησιμοποιώντας τα κριτήρια CVSS v3.1 και προειδοποιεί ότι η εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να οδηγήσει στην έκθεση ευαίσθητων δεδομένων.
Παρά την υψηλή βαθμολογία, υπάρχει ένα περιοριστικό πλαίσιο εκμετάλλευσης, δεδομένου ότι οι ευάλωτες συσκευές πρέπει να έχουν εγκατεστημένη την έκδοση 5.6 του firmware FutureSmart και να είναι ενεργοποιημένο το IPsec για να μπορέσουν να αξιοποιηθούν.
Το IPsec (Internet Protocol Security) είναι ένα απαραίτητο πρωτόκολλο ασφαλείας δικτύου, το οποίο χρησιμοποιείται από εταιρείες για την προστασία των εσωτερικών και απομακρυσμένων επικοινωνιών τους από μη εξουσιοδοτημένη πρόσβαση. Αυτή η σουίτα υπηρεσιών προστατεύει και τα ψηφιακά περιουσιακά στοιχεία, όπως οι εκτυπωτές.
Το FutureSmart παρέχει στους χρήστες τη δυνατότητα να διαχειρίζονται και να ρυθμίζουν τους εκτυπωτές είτε μέσω ενός πίνακα ελέγχου που βρίσκεται στον εκτυπωτή είτε εξ αποστάσεως μέσω ενός προγράμματος περιήγησης στο διαδίκτυο.
Σε αυτή την περίπτωση, η ευπάθεια αποκάλυψης πληροφοριών θα μπορούσε να επιτρέψει σε έναν χάκερ να αποκτήσει πρόσβαση σε εμπιστευτικά δεδομένα που ανταλλάσσονται μεταξύ εκτυπωτών HP και άλλων συσκευών δικτύου.
Τα ακόλουθα μοντέλα εκτυπωτή επηρεάζονται από το CVE-2023-1707:
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
- HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
- HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70
Η HP υπόσχεται ότι ένα firmware patch για την αντιμετώπιση της ευπάθειας θα είναι διαθέσιμο σε 90 ημέρες, οπότε αυτή τη στιγμή δεν υπάρχει εφικτή λύση.
Συνιστάται έντονα στους πελάτες που τρέχουν το FutureSmart 5.6 να υποβαθμίσουν την έκδοση του firmware τους σε FS 5.5.0.3, προκειμένου να αποφύγουν καλύτερα τα πιθανά προβλήματα και να μεγιστοποιήσουν τα οφέλη απόδοσης.
Συνιστάται ιδιαίτερα στους χρήστες να προμηθεύονται το πακέτο firmware από τη νόμιμη πύλη λήψης της HP, όπου μπορούν εύκολα να επιλέξουν το μοντέλο του εκτυπωτή τους και να αποκτήσουν πρόσβαση στο απαραίτητο λογισμικό.
Πηγή πληροφοριών: bleepingcomputer.com
