HP 公告雷射印表機重大漏洞 聲稱未發現任何攻擊行動

HP公告修補雷射印表機韌體風險漏洞CVE-2023-1707,攻擊者可透過IPSec網路存取資訊,建議使用FutureSmart 5.6版的用戶降級到5.5.0.3版,HP將在90天內釋出新版韌體解決此問題。

HP 最新安全公告宣佈將以 90 天內修補影響企業雷射印表機韌體的重大風險漏洞。

這項漏洞為 CVE-2023-1707,可能讓攻擊者洩露資訊,影響約 50 款 HP Enterprise LaserJet 及 LaserJet 代管印表機等機種。HP 將該漏洞風險列為 CVSS 3.1 評分的 9.1。

不過這項漏漏雖然屬高風險,但需要受影響的印表機啟動 IPSec 網路,且 FutureSmart 韌體為 5.6 版。

IPSec 為 IP 網路安全協定,用於在企業網路上確保遠端或內部連線,防止外人未授權存取其設備,包括印表機。FutureSmart 允許使用者從網頁瀏覽器或印表機上的控制台設定印表機。

受到 CVE-2023-1707 漏洞影響的印表機型號如下:

  • HP Color LaserJet Enterprise M455
  • HP Color LaserJet Enterprise MFP M480
  • HP Color LaserJet Managed E45028
  • HP Color LaserJet Managed MFP E47528
  • HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
  • HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
  • HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
  • HP LaserJet Enterprise M406
  • HP LaserJet Enterprise M407
  • HP LaserJet Enterprise MFP M430
  • HP LaserJet Enterprise MFP M431
  • HP LaserJet Managed E40040
  • HP LaserJet Managed MFP E42540
  • HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
  • HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
  • HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70

該漏洞能讓攻擊者存取在 HP 印表機或網路其他裝置之間傳輸的資訊。漏洞為 HP 測試時發現且已經修正。HP 稱未發現任何攻擊行動。

這家印表機業者表示,漏洞曝露期間是從 2023 年 2 月中到 3 月底,且只存在 FutureSmart v5。目前 HP 已經撤下這個版本不提供下載。

HP 提醒,在這段期間內,若用戶曾啟動 IPSec 連線,由印表機發出指令掃瞄內容送到遠端機器的資料(包括掃瞄送至電子郵件,或掃瞄送至 SharePoint)可能會外洩,如果用戶非以 TLS 或其他加密連線傳送指令,其登入憑證(如帳號密碼)可能曝光。

HP 會在 90 天內釋出新版韌體以解決這項漏洞。目前 HP 建議使用 FutureSmart 5.6 版的用戶降級到 5.5.0.3 版。用戶可以從 HP 官網輸入機型以下載降級版韌體。

來源:HPBleeping Computer

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416