HP đã thông báo trong một bản tin bảo mật trong tuần này rằng sẽ mất tới 90 ngày để vá một lỗ hổng nghiêm trọng ảnh hưởng đến firmware của một số dòng máy in doanh nghiệp.
Lỗ hổng theo dõi là CVE-2023-1707 và ảnh hưởng đến khoảng 50 kiểu máy HP Enterprise LaserJet và HP LaserJet Managed Printers. Khai thác thành công lỗ hổng có thể dẫn đến việc tiết lộ thông tin và điều kiện là các thiết bị cần chạy firmware FutureSmart phiên bản 5.6 và đã bật IPsec.
FutureSmart cho phép người dùng làm việc và thiết lập cấu hình máy in từ bảng điều khiển có sẵn tại máy in hoặc từ trình duyệt web để truy cập từ xa.
Mặc dù có điểm số cao nhưng vẫn có bối cảnh khai thác hạn chế vì các thiết bị dễ bị tấn công cần chạy chương trình cơ sở FutureSmart phiên bản 5.6 và đã bật IPsec.
IPsec (Bảo mật giao thức Internet) là bộ giao thức bảo mật mạng IP được sử dụng trong các mạng công ty để bảo mật thông tin liên lạc từ xa hoặc nội bộ và ngăn chặn truy cập trái phép vào tài sản, bao gồm cả máy in.
FutureSmart cho phép người dùng làm việc và định cấu hình máy in từ bảng điều khiển có sẵn tại máy in hoặc từ trình duyệt web để truy cập từ xa.
Trong trường hợp này, lỗ hổng tiết lộ thông tin có thể cho phép kẻ tấn công truy cập thông tin nhạy cảm được truyền giữa các máy in HP có lỗ hổng và các thiết bị khác trên mạng.
BleepingComputer đã liên hệ với HP để tìm hiểu thêm về tác động chính xác của lỗ hổng và liệu nhà cung cấp có thấy dấu hiệu khai thác tích cực hay không nhưng chúng tôi không nhận được tuyên bố nào tại thời điểm xuất bản.
Kiểu máy in sau đây bị ảnh hưởng bởi CVE-2023-1707:
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
- HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
- HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70
HP cho biết bản cập nhật chương trình cơ sở giải quyết lỗ hổng sẽ được phát hành trong vòng 90 ngày, vì vậy hiện tại không có bản sửa lỗi nào.
Biện pháp giảm thiểu khuyến nghị dành cho khách hàng đang chạy FutureSmart 5.6 là hạ cấp phiên bản chương trình cơ sở của họ xuống FS 5.5.0.3.
