Программное обеспечение целого ряда принтеров HP LaserJet уязвимо к удалённым атакам хакеров

Буквально несколько дней назад стало известно , что десятки моделей принтеров HP уязвимы из-за проблемы с безопасностью, которая потенциально может позволить злоумышленникам получить удалённый доступ к конфиденциальной информации пользователей. Уязвимость отслеживается под идентификатором CVE-2023-1707 и имеет оценку CVSS 9,1 из 10. Как сообщает сама компания, ни одного случая эксплуатации CVE-2023-1707 пока что не было замечено в дикой природе (ITW).

Как сообщается, проблема затрагивает лишь небольшое количество принтеров HP с микропрограммой FutureSmart версии 5.6 и включенным протоколом IPsec. Пока не будет выпущено исправление безопасности, компания предлагает временный обходной путь для затронутых устройств – откат на предыдущую версию прошивки (FutureSmart версии 5.5.0.3) до тех пор, пока не будет развернуто исправление. Полный список затронутых принтеров можно найти на странице поддержки HP.

FutureSmart – это проприетарное микропрограммное обеспечение HP, которое работает на самых мощных принтерах корпоративного класса компании и помогает системным администраторам управлять и поддерживать различные функции в парке корпоративных принтеров. Что касается IPsec (Internet Protocol Security), это набор протоколов безопасности IP-сети, предназначенный для предотвращения удаленного доступа злоумышленников к корпоративным сетям. Иронично, что именно этот протокол стал ключевым элементом для компрометации программного обеспечения.

Это не первый случай, когда принтеры HP подвергаются рискам из-за уязвимостей в системе безопасности. В прошлом году компания опубликовала рекомендации по безопасности сразу для трех уязвимостей, которые могут привести к удаленному выполнению кода на скомпрометированных машинах. Среди затронутых устройств были многие модели принтеров HP: LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet. В конечном итоге HP выпустила обновления безопасности для большинства уязвимых продуктов, а также предложила инструкции по смягчению последствий для тех моделей, которые не удалось исправить.

Public Release.