HP risolverà un bug critico nelle stampanti LaserJet entro 90 giorni

Vai ai contenuti

HP risolverà un bug critico nelle stampanti LaserJet entro 90 giorni

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 5 Aprile 2023
Tags: #HP#Bug
HP risolverà un bug critico nelle stampanti LaserJet entro 90 giorni



HP ha annunciato in un bollettino sulla sicurezza di questa settimana che sarebbero necessari fino a 90 giorni per correggere una vulnerabilità di gravità critica che influisce sul firmware di alcune stampanti di livello aziendale.

Il problema di sicurezza viene registrato come CVE-2023-1707
e interessa circa 50 modelli di stampanti gestite HP Enterprise LaserJet e HP LaserJet.

La società ha calcolato un punteggio di gravità di 9,1 su 10 utilizzando lo standard CVSS v3.1 e osserva che sfruttarlo potrebbe potenzialmente portare alla divulgazione di informazioni.

Nonostante il punteggio elevato, esiste un contesto di sfruttamento restrittivo in quanto i dispositivi vulnerabili devono eseguire il firmware FutureSmart versione 5.6 e avere IPsec abilitato.

IPsec (Internet Protocol Security) è una suite di protocolli di sicurezza della rete IP utilizzata nelle reti aziendali per proteggere le comunicazioni remote o interne e impedire l'accesso non autorizzato alle risorse, comprese le stampanti.

FutureSmart consente agli utenti di lavorare e configurare le stampanti da un pannello di controllo disponibile presso la stampante o da un browser Web per l'accesso remoto.

In questo caso, il difetto di divulgazione delle informazioni potrebbe consentire a un utente malintenzionato di accedere a informazioni riservate trasmesse tra le stampanti HP vulnerabili e altri dispositivi sulla rete.

BleepingComputer ha contattato HP per saperne di più sull'impatto esatto del difetto e se il fornitore ha visto segni di sfruttamento attivo, ma non abbiamo ricevuto alcuna dichiarazione al momento della pubblicazione.

I seguenti modelli di stampante sono interessati da CVE-2023-1707:

    HP Color LaserJet Enterprise M455
    Multifunzione HP Color LaserJet Enterprise M480
    HP Color LaserJet Managed E45028
    Multifunzione gestita HP Color LaserJet E47528
    Multifunzione gestita HP Color LaserJet E785dn, Multifunzione gestita HP Color LaserJet E78523, E78528
    HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
    HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
    HP LaserJet Enterprise M406
    HP LaserJet Enterprise M407
    Stampante multifunzione HP LaserJet Enterprise M430
    Stampante multifunzione HP LaserJet Enterprise M431
    HP LaserJet Managed E40040
    Multifunzione gestita HP LaserJet E42540
    Multifunzione gestita HP LaserJet E730, MFP gestita HP LaserJet E73025, E73030
    HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
    HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70

HP afferma che un aggiornamento del firmware che risolve la vulnerabilità verrà rilasciato entro 90 giorni, quindi al momento non è disponibile alcuna correzione.

La mitigazione consigliata per i clienti che eseguono FutureSmart 5.6 è il downgrade della versione del firmware a FS 5.5.0.3.
“HP consiglia di ripristinare immediatamente una versione precedente del firmware
(FutureSmart versione 5.5.0.3). Il firmware aggiornato per risolvere il problema è previsto entro 90 giorni. - HP

Si consiglia agli utenti di procurarsi il pacchetto firmware dal portale di download ufficiale di HP, dove possono selezionare il proprio modello di stampante e ottenere il relativo software.

Aggiornamento 4/5 - Un portavoce di HP ha inviato a BleepingComputer il seguente commento:

    Il periodo di esposizione a questa potenziale vulnerabilità è stato molto breve (da metà febbraio 2023 a fine marzo 2023) ed esisteva solo su una versione specifica del firmware (FutureSmart versione 5). I clienti non possono più scaricare la versione del firmware che presentava questa potenziale vulnerabilità.

    Durante questo breve periodo, se un cliente utilizzava IPsec, i dati del lavoro di scansione inviati dalla stampante (ad es. scansione su e-mail o scansione su SharePoint) potevano essere potenzialmente divulgati.

    I dati erano potenzialmente esposti solo se gli utenti eseguivano la scansione di un lavoro e lo inviavano a una posizione remota (come e-mail, SharePoint, ecc.). Le credenziali avrebbero potuto essere potenzialmente esposte se non fossero state protette da TLS o altri meccanismi di crittografia sottostanti.

    Questo problema è stato scoperto da HP durante i nostri test e ha agito immediatamente. HP non è a conoscenza di alcun exploit attivo.
.


3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti