A HP a héten biztonsági közleményben jelentette be, hogy akár 90 napot is igénybe vehet egy kritikus súlyosságú sebezhetőség befoltozása, amely egyes üzleti kategóriájú nyomtatók firmware-jét érinti.
A CVE-2023-1707 (CVSS 3.1 9.1) biztonsági hiba körülbelül 50 HP Enterprise LaserJet és HP LaserJet Managed Printers modellt érint. A magas CVSS pontszám ellenére a hiba kihasználása viszonylag korlátozott, mivel a sebezhető eszközökön a FutureSmart firmware 5.6-os verzióját kell futtatni, és engedélyezve kell lennie az IPsec funkciónak.
Az IPsec (Internet Protocol Security) egy olyan hálózati biztonsági protokollcsomag, amelyet a vállalati hálózatokban a kommunikáció titkosítására és az eszközökhöz (például nyomtatók) való jogosulatlan hozzáférés megakadályozására használnak.
A FutureSmart lehetővé teszi a felhasználók számára, hogy webböngészőből konfigurálják és használják a nyomtatókat. Az ilyen használat során egy támadó hozzáférhet a hálózaton továbbított érzékeny adatokhoz.
Az érintett modellek listája ezen az oldalon megtekinthető.
A HP igérete szerint a sebezhetőséget orvosló frissítés 90 napon belül megjelenik, azonban jelenleg nem áll rendelkezésre javítócsomag, ezért azt javasolja az ügyfelek számára, hogy ideiglenesen térjenek vissza az 5.5.0.3-as verzióra. Ez a HP hivatalos portáljáról letölthető.
A sebezhetőséget 2023 február közepe és 2023 március vége között használhatták ki a hackerek, de a HP nem tud ilyen esetről, mivel a TLS vagy egyéb titkosítási módok megakadályozhatták őket ebben.