惠普企業級打印機出現嚴重漏洞，涉及50余種機型

近日，惠普在一份安全公告中宣布，修復影響某些企業級打印機固件的嚴重漏洞最多需要 90 天。

該安全問題被追蹤為 CVE-2023-1707，它影響了大約 50 種 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 型號。

該公司使用 CVSS v3.1 標準計算出的嚴重性得分為 9.1（滿分 10），并指出利用該標準可能會導致信息泄露。

盡管得分很高，但由于易受攻擊的設備需要運行 FutureSmart 固件版本 5.6 并啟用 IPsec，因此存在利用環境 受限的情況。

IPsec（Internet 協議安全）是用于企業網絡的 IP 網絡安全協議套件，用于保護遠程或內部通信并防止未經授權訪問資產（包括打印機）。

FutureSmart 允許用戶通過打印機上可用的控制面板或用于遠程訪問的 Web 瀏覽器來工作和配置打印機。

在這種情況下，信息泄露漏洞可能允許攻擊者訪問易受攻擊的 HP 打印機與網絡上其他設備之間傳輸的敏感信息。

BleepingComputer 媒體已聯系HP官方以了解有關該缺陷的確切影響的更多信息，以及供應商是否看到了積極利用的跡象，但目前還沒有收到任何聲明。

以下打印機型號受 CVE-2023-1707 影響：

HP Color LaserJet Enterprise M455

HP Color LaserJet Enterprise MFP M480

HP Color LaserJet Managed E45028

HP Color LaserJet Managed MFP E47528、 E785dn、E78523、E78528

HP Color LaserJet Managed MFP E786、HP Color LaserJet Managed Flow MFP E786、HP Color LaserJet Managed MFP E78625/30/35、HP Color LaserJet Managed Flow MFP E78625/30/35

HP Color LaserJet Managed MFP E877、E87740/50/60/70、HP Color LaserJet Managed Flow E87740/50/60/70

HP LaserJet Enterprise M406、M407

HP LaserJet Enterprise MFP M430、M431

HP LaserJet Managed MFP E42540

HP LaserJet Managed MFP E730、HP LaserJet Managed MFP E73025、E73030

HP LaserJet Managed MFP E731、HP LaserJet Managed Flow MFP M731、HP LaserJet Managed MFP E73130/35/40、HP LaserJet Managed Flow MFP E73130/35/40

HP LaserJet Managed MFP E826dn、HP LaserJet Managed Flow MFP E826z、HP LaserJet Managed E82650/60/70、HP LaserJet Managed E82650/60/70

惠普表示，解決該漏洞的固件更新將在 90 天內發布，因此目前沒有可用的修復程序。

對于運行 FutureSmart 5.6 的客戶，建議的緩解措施是將其固件版本降級到 FS 5.5.0.3。

“惠普建議立即恢復到以前版本的固件（FutureSmart 版本 5.5.0.3）。預計將在 90 天內更新固件以解決該問題。” 惠普官方聲明。

此外，還建議用戶從HP 官方下載門戶獲取固件包，在那里他們可以選擇自己的打印機型號并獲取相關軟件。