Bug crítico em impressoras HP LaserJet será corrigido em 90 dias

Problema de segurança afeta cerca de 50 modelos de impressoras HP Enterprise LaserJet e HP LaserJet
Da Redação
06/04/2023

A HP anunciou em um boletim de segurança divulgado na semana passada que levará até 90 dias para corrigir uma vulnerabilidade crítica que afeta o firmware de alguns modelos de impressoras de uso corporativo. O problema de segurança foi rastreado como CVE-2023-1707 e afeta cerca de 50 modelos de impressoras HP Enterprise LaserJet e HP LaserJet.

A empresa classificou o bug com escore de 9.1 na escala do sistema de pontuação comum de vulnerabilidades (CVSS), versão 3.1, e observa que explorá-lo poderia potencialmente levar à exposição de informações.

Apesar da pontuação alta, há um contexto de exploração restritivo, pois os dispositivos vulneráveis ​​precisam executar o firmware FutureSmart versão 5.6 e ter o IPsec habilitado. IPsec (Internet Protocol Security) é um conjunto de protocolos de segurança de rede IP usado em redes corporativas para proteger comunicações remotas ou internas e impedir o acesso não autorizado a ativos, incluindo impressoras.

O FutureSmart permite que os usuários trabalhem e configurem impressoras a partir de um painel de controle disponível na impressora ou de um navegador da web para acesso remoto. Nesse caso, a falha de divulgação de informações pode permitir que um invasor acesse informações confidenciais transmitidas entre as impressoras HP vulneráveis ​​e outros dispositivos na rede.

Os seguinte modelos de impressora são afetados pelo CVE-2023-1707:

  • HP Color LaserJet Enterprise M455
  • HP Color LaserJet Enterprise MFP M480
  • HP Color LaserJet gerenciado E45028
  • MFP gerenciado HP Color LaserJet E47528
  • HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
  • HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
  • HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
  • HP LaserJet Enterprise M406
  • HP LaserJet Enterprise M407
  • HP LaserJet Enterprise MFP M430
  • HP LaserJet Enterprise MFP M431
  • HP LaserJet gerenciado E40040
  • HP LaserJet Managed MFP E42540
  • HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
  • HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
  • HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70


A HP diz que uma atualização de firmware que aborda a vulnerabilidade será lançada em 90 dias, portanto, não há correção disponível no momento. Para atenuar o problema, a empresa recomendada aos clientes que executam o FutureSmart 5.6 fazer downgrade de sua versão de firmware para FS 5.5.0.3.

Os usuários podem obter o pacote de firmware no portal de download oficial da HP, onde podem selecionar o modelo da impressora e obter o software relevante.

Veja isso
Bugs com CVSS de 8.2 achados em dispositivos da HP Enterprise
Falha com risco 8,8 em mais de 200 desktops e laptops HP

Procurada pelo BleepingComputer, a HP disse que período de exposição a esta vulnerabilidade foi muito pequeno — meados de fevereiro de 2023 até o final de março de 2023 — e existia apenas em uma versão específica do firmware (FutureSmart versão 5). Mas, segundo a empresa, os clientes não podem mais baixar a versão do firmware que tinha essa vulnerabilidade potencial.

“Durante esse curto período, se um cliente estiver usando IPsec, os dados do trabalho de digitalização enviados da impressora — por exemplo, digitalização para e-mail ou digitalização para SharePoint — podem ter sido divulgados. Os dados só eram potencialmente expostos se os usuários digitalizassem um trabalho e o enviassem para um local remoto (como e-mail, SharePoint etc.). As credenciais poderiam ter sido potencialmente expostas se não fossem protegidas por TLS ou outros mecanismos de criptografia subjacentes”, disse no comunicado.

A HP diz que o problema foi descoberto por ela durante os próprios testes e resolvido imediatamente. Ela também diz que não tem conhecimento de nenhum exploit ativo.

Compartilhar: