Компания HP сообщила, что обнаружена критическая ошибка CVE-2023-1707, которая затрагивает около 50 моделей принтеров HP Enterprise LaserJet и HP LaserJet Managed. Интересно, что патча для этой уязвимости пока нет, и производитель обещает исправить ее примерно через три месяца.

Проблема получила рейтинг 9,1 балла из 10 возможных по шкале CVSS, что делает ее критической. Но есть и хорошая новость: эксплуатация возможна лишь в ограниченном контекте, поскольку на уязвимых устройствах должна быть установлена ​​прошивка FutureSmart версии 5.6 и включен IPsec (Internet Protocol Security). FutureSmart позволяет пользователям работать и настраивать принтеры либо с панели управления, доступной на устройстве, либо из браузера, посредством удаленного доступа.

Эксплуатация бага может привести к раскрытию информации. То есть злоумышленник может получить доступ к конфиденциальной информации, передаваемой между уязвимыми принтерами HP и другими устройствами в сети.

Список уязвимых устройств можно увидеть ниже.

Представители HP сообщают, что обновление прошивки, устраняющее уязвимость, будет готово в течение 90 дней, а в настоящее время патч недоступен. Клиентам, использующим FutureSmart 5.6, пока рекомендуется понизить версию FutureSmart 5.5.0.3.

В компании сообщили изданию Bleeping Computer, что воздействие этой уязвимости было весьма ограниченным: уязвимость была актуальна с середины февраля 2023 года до конца марта 2023 года, лишь для версии прошивки FutureSmart 5.

«В течение этого короткого периода времени, если клиент использовал IPsec, данные заданий сканирования, отправляемые с принтера (например, scan-to email или scan-to SharePoint), потенциально могли быть раскрыты. <..> Учетные данные могли быть потенциально раскрыты, если они не были защищены TLS или другими базовыми механизмами шифрования», — рассказали в компании.

Источник: xakep