HP 公告雷射印表機重大漏洞 聲稱未發現任何攻擊行動
HP 最新安全公告宣佈將以 90 天內修補影響企業雷射印表機韌體的重大風險漏洞。
這項漏洞為 CVE-2023-1707,可能讓攻擊者洩露資訊,影響約 50 款 HP Enterprise LaserJet 及 LaserJet 代管印表機等機種。HP 將該漏洞風險列為 CVSS 3.1 評分的 9.1。
不過這項漏漏雖然屬高風險,但需要受影響的印表機啟動 IPSec 網路,且 FutureSmart 韌體為 5.6 版。
IPSec 為 IP 網路安全協定,用於在企業網路上確保遠端或內部連線,防止外人未授權存取其設備,包括印表機。FutureSmart 允許使用者從網頁瀏覽器或印表機上的控制台設定印表機。
受到 CVE-2023-1707 漏洞影響的印表機型號如下:
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
- HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
- HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70
該漏洞能讓攻擊者存取在 HP 印表機或網路其他裝置之間傳輸的資訊。漏洞為 HP 測試時發現且已經修正。HP 稱未發現任何攻擊行動。
這家印表機業者表示,漏洞曝露期間是從 2023 年 2 月中到 3 月底,且只存在 FutureSmart v5。目前 HP 已經撤下這個版本不提供下載。
HP 提醒,在這段期間內,若用戶曾啟動 IPSec 連線,由印表機發出指令掃瞄內容送到遠端機器的資料(包括掃瞄送至電子郵件,或掃瞄送至 SharePoint)可能會外洩,如果用戶非以 TLS 或其他加密連線傳送指令,其登入憑證(如帳號密碼)可能曝光。
HP 會在 90 天內釋出新版韌體以解決這項漏洞。目前 HP 建議使用 FutureSmart 5.6 版的用戶降級到 5.5.0.3 版。用戶可以從 HP 官網輸入機型以下載降級版韌體。