Компания HP сообщила, что обнаружена критическая ошибка CVE-2023-1707, которая затрагивает около 50 моделей принтеров HP Enterprise LaserJet и HP LaserJet Managed. Интересно, что патча для этой уязвимости пока нет, и производитель обещает исправить ее примерно через три месяца.
Проблема получила рейтинг 9,1 балла из 10 возможных по шкале CVSS, что делает ее критической. Но есть и хорошая новость: эксплуатация возможна лишь в ограниченном контекте, поскольку на уязвимых устройствах должна быть установлена прошивка FutureSmart версии 5.6 и включен IPsec (Internet Protocol Security). FutureSmart позволяет пользователям работать и настраивать принтеры либо с панели управления, доступной на устройстве, либо из браузера, посредством удаленного доступа.
Эксплуатация бага может привести к раскрытию информации. То есть злоумышленник может получить доступ к конфиденциальной информации, передаваемой между уязвимыми принтерами HP и другими устройствами в сети.
Список уязвимых устройств можно увидеть ниже.
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
- HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
- HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70
Представители HP сообщают, что обновление прошивки, устраняющее уязвимость, будет готово в течение 90 дней, а в настоящее время патч недоступен. Клиентам, использующим FutureSmart 5.6, пока рекомендуется понизить версию FutureSmart 5.5.0.3.
В компании сообщили изданию Bleeping Computer, что воздействие этой уязвимости было весьма ограниченным: уязвимость была актуальна с середины февраля 2023 года до конца марта 2023 года, лишь для версии прошивки FutureSmart 5.
«В течение этого короткого периода времени, если клиент использовал IPsec, данные заданий сканирования, отправляемые с принтера (например, scan-to email или scan-to SharePoint), потенциально могли быть раскрыты. <..> Учетные данные могли быть потенциально раскрыты, если они не были защищены TLS или другими базовыми механизмами шифрования», — рассказали в компании.