HP 公告雷射印表機重大漏洞 聲稱未發現任何攻擊行動

HP 最新安全公告宣佈將以 90 天內修補影響企業雷射印表機韌體的重大風險漏洞。

這項漏洞為 CVE-2023-1707，可能讓攻擊者洩露資訊，影響約 50 款 HP Enterprise LaserJet 及 LaserJet 代管印表機等機種。HP 將該漏洞風險列為 CVSS 3.1 評分的 9.1。

不過這項漏漏雖然屬高風險，但需要受影響的印表機啟動 IPSec 網路，且 FutureSmart 韌體為 5.6 版。

IPSec 為 IP 網路安全協定，用於在企業網路上確保遠端或內部連線，防止外人未授權存取其設備，包括印表機。FutureSmart 允許使用者從網頁瀏覽器或印表機上的控制台設定印表機。

受到 CVE-2023-1707 漏洞影響的印表機型號如下：

• HP Color LaserJet Enterprise M455
• HP Color LaserJet Enterprise MFP M480
• HP Color LaserJet Managed E45028
• HP Color LaserJet Managed MFP E47528
• HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
• HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
• HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
• HP LaserJet Enterprise M406
• HP LaserJet Enterprise M407
• HP LaserJet Enterprise MFP M430
• HP LaserJet Enterprise MFP M431
• HP LaserJet Managed E40040
• HP LaserJet Managed MFP E42540
• HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
• HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
• HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70

該漏洞能讓攻擊者存取在 HP 印表機或網路其他裝置之間傳輸的資訊。漏洞為 HP 測試時發現且已經修正。HP 稱未發現任何攻擊行動。

這家印表機業者表示，漏洞曝露期間是從 2023 年 2 月中到 3 月底，且只存在 FutureSmart v5。目前 HP 已經撤下這個版本不提供下載。

HP 提醒，在這段期間內，若用戶曾啟動 IPSec 連線，由印表機發出指令掃瞄內容送到遠端機器的資料（包括掃瞄送至電子郵件，或掃瞄送至 SharePoint）可能會外洩，如果用戶非以 TLS 或其他加密連線傳送指令，其登入憑證（如帳號密碼）可能曝光。

HP 會在 90 天內釋出新版韌體以解決這項漏洞。目前 HP 建議使用 FutureSmart 5.6 版的用戶降級到 5.5.0.3 版。用戶可以從 HP 官網輸入機型以下載降級版韌體。

來源：HP、Bleeping Computer