کمپانی HP در بولتن امنیتیش خبر از یه آسیب پذیری بحرانی به شناسه CVE-2023-1707 داده و اعلام کرده که 90 روز زمان لازمه تا نسخه اصلاحیه رو بده.
این آسیب پذیری بحرانی روی پرینترهای مدل HP Enterprise LaserJet و HP LaserJet Managed Printer تاثیر میزاره و در فریمور این پرینترها و دارای امتیاز 9.1 هستش. اکسپلویت موفقیت آمیز منجر به افشای اطلاعات میشه. این افشای اطلاعات باعث میشه مهاجم به داده های حساس ارسال شده بین پرینتر آسیب پذیر و دستگاههای موجود در شبکه ، ذسترسی داشته باشه.
برای اکسپلویت نیاز هستش که دستگاه از فریمور FutureSmart نسخه 5.6 استفاده کنه و IPsec فعال باشه. FutureSmart امکان پیکربندی از راه دور پرینتر ها رو از طریق کنترل پنل خود پرینتر و یا از طریق مرورگر فراهم میکنه. البته اگه کاربران یه Job ،اسکن کنن و به یه مکان راه دور مثله ایمیل ، شیرپوینت و … انتقالش بدن و از TLS یا سایر مکانیسم های رمزنگاری ،در این ارتباطات استفاده نکنن، با خطر افشای اطلاعات روبرو هستن.
لیست پرینترهایی که تحت تاثیر این آسیب پذیری هستن :
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
- HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
- HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70
HP گفته فریمور اصلاح شده رو ظرف 90 روز ارائه میده و بنابراین فعلا هیچ راه حلی برای اصلاح آسیب پذیری وجود نداره. فقط یه مورد اقدام کاهشی دادن و اون اینکه نسخه FutureSmart 5.6 رو به نسخه پایینتر یعنی FutureSmart 5.5.0.3 تغییر بدید. این نسخه تحت تاثیر این آسیب پذیری نیستش.
همچنین توصیه شده فریمور رو از پورتال رسمی خود HP براساس مدل پرینتر دانلود و نصب کنید. در نهایت اینکه آسیب پذیری توسط خود HP کشف شده و در خصوص اکسپلویت این آسیب پذیری در حملات ،اعلام کردن که بی اطلاع هستن.