惠普将在90天内修复这个严重的 LaserJet 打印机漏洞

2023年4月7日19:22:20评论106 views字数 2192阅读7分18秒阅读模式

惠普将在90天内修复这个严重的 LaserJet 打印机漏洞聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

本周，惠普发布安全公告称，将在90天内修复影响某些企业级打印机固件的一个严重漏洞 (CVE-2023-1707)。该漏洞影响约50款 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 机型。

惠普表示该漏洞的CVSS v3评分为9.1，如遭利用可导致信息泄露后果。尽管评分很高，但由于易受攻击的设备需要运行 FutureSmart 固件版本 5.6 且需要启用 IPsec，因此存在限制性利用上下文。IPsec（互联网协议安全）是一种用于企业网络的IP网络安全协议套件，用于保护远程或内部通信安全并阻止对包括打印机在内的资产的越权访问。

FurtureSmart 可使用户从打印机可用的控制台工作和配置打印机，或者通过 web 浏览器远程访问。在本案例中，该信息泄露漏洞可导致攻击者访问易受攻击的惠普打印机和网络上其它设备之间传输的敏感信息。

如下打印机机型受CVE-2023-1707的影响：

HP Color LaserJet Enterprise M455
HP Color LaserJet Enterprise MFP M480
HP Color LaserJet Managed E45028
HP Color LaserJet Managed MFP E47528
HP Color LaserJet Managed MFP E785dn、HP Color LaserJet Managed MFP E78523、E78528
HP Color LaserJet Managed MFP E786、HP Color LaserJet Managed Flow MFP E786、HP Color LaserJet Managed MFP E78625/30/35、HP Color LaserJet Managed Flow MFP E78625/30/35
HP Color LaserJet Managed MFP E877、E87740/50/60/70、HP Color LaserJet Managed Flow E87740/50/60/70
HP LaserJet Enterprise M406
HP LaserJet Enterprise M407
HP LaserJet Enterprise MFP M430
HP LaserJet Enterprise MFP M431
HP LaserJet Managed E40040
HP LaserJet Managed MFP E42540
HP LaserJet Managed MFP E730、HP LaserJet Managed MFP E73025、 E73030
HP LaserJet Managed MFP E731、HP LaserJet Managed Flow MFP M731、 HP LaserJet Managed MFP E73130/35/40、HP LaserJet Managed Flow MFP E73130/35/40
HP LaserJet Managed MFP E826dn、HP LaserJet Managed Flow MFP E826z、HP LaserJet Managed E82650/60/70、HP LaserJet Managed E82650/60/70

惠普公司表示，将在90天内发布固件更新，修复该问题，因此目前无修复方案。

运行 FutureSmart 5.6 的客户可将固件版本降级至 FS 5.5.0.3，缓解该漏洞。惠普指出，“惠普建议客户立即退回该固件的之前版本 (FutureSmart 版本5.5.0.3)。我们将在90天内更新固件，解决该问题。”建议用户从惠普官方下载中心下载该固件包。

惠普公司发布评论指出，“该潜在漏洞的暴露期非常短（2023年2月中旬到2023年3月底），且仅存在于该固件的特定版本 (FutureSmart 5) 中。客户已无法再次下载包含该潜在漏洞的固件版本。在这一短时间内，如果客户使用 IPsec，则从打印机发送的扫描任务数据可能已遭泄漏。只有当用户扫描任务并将其发送到远程位置时，数据才有可能遭暴露。如果客户未部署 TLS 或者其它底层加密机制，则凭据可能遭暴露。该问题是惠普内部测试发现的并立即采取行动。惠普并未发现遭活跃利用的情况。”

惠普将在90天内修复这个严重的 LaserJet 打印机漏洞