HP irá corrigir um bug crítico nas impressoras LaserJet em até 90 dias
5 de Abril de 2023

A HP anunciou em um boletim de segurança nesta semana que levaria até 90 dias para corrigir uma vulnerabilidade de gravidade crítica que afeta o firmware de certas impressoras de nível empresarial.

O problema de segurança é rastreado como CVE-2023-1707 e afeta cerca de 50 modelos de impressoras HP Enterprise LaserJet e HP LaserJet Managed Printers.

A empresa calculou uma pontuação de gravidade de 9,1 de 10 usando o padrão CVSS v3.1 e observa que explorá-lo pode levar a uma potencial divulgação de informações.

Apesar da alta pontuação, há um contexto restritivo de exploração, pois os dispositivos vulneráveis ​​precisam executar a versão 5.6 do firmware FutureSmart e ter o IPsec ativado.

O IPsec (Internet Protocol Security) é um conjunto de protocolos de segurança de rede IP usado em redes corporativas para proteger comunicações remotas ou internas e evitar acesso não autorizado a recursos, incluindo impressoras.

O FutureSmart permite que os usuários trabalhem e configurem impressoras a partir de um painel de controle disponível na impressora ou de um navegador da web para acesso remoto.

Neste caso, a falha de divulgação de informações pode permitir que um invasor acesse informações confidenciais transmitidas entre as impressoras HP vulneráveis ​​e outros dispositivos na rede.

O BleepingComputer entrou em contato com a HP para saber mais sobre o impacto exato da falha e se o fornecedor viu sinais de exploração ativa, mas não recebemos declaração no momento da publicação.

Os seguintes modelos de impressora são afetados pelo CVE-2023-1707 : A HP diz que uma atualização de firmware que aborda a vulnerabilidade será lançada dentro de 90 dias, portanto, atualmente não há correção disponível.

A mitigação recomendada para os clientes que executam o FutureSmart 5.6 é rebaixar sua versão de firmware para FS 5.5.0.3.

Os usuários são recomendados a obter o pacote de firmware do portal de download oficial da HP, onde podem selecionar o modelo de sua impressora e obter o software relevante.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...