惠普打印機劫持錯誤影響150種產品型號。

安全研究人員在多功能打印機（MFP）中發現了兩個漏洞，影響了150種產品型號。

F-Secure安全顧問Timo Hirvonen和Alexander Bolshev在一份詳細的報告中寫下了他們的發現，Printing Shellz。

具體來說，他們在惠普的MFP M725z設備中發現了一個物理訪問端口漏洞（CVE-2021-39237）和一個字體解析錯誤（CVE-2021-39238）。事實證明，它們影響了FutureSmart系列中的更多產品，這些產品可以追溯到2013年。

CVE-2021-3928是兩者中更危險的，因為它可以被遠程利用，可能是通過誘騙員工訪問惡意網站來進行"跨站點打印"攻擊。F-Secure說，在這里，該網站會自動在易受攻擊的多功能數碼復合機上打印包含惡意制作的字體的文檔。

這將允許攻擊者在計算機上執行任意代碼，以竊取任何打印，掃描或傳真的信息，包括設備密碼。

該報告聲稱，它還可能使攻擊者能夠向企業網絡發起更深層次的攻擊，以傳播勒索軟件，從更敏感的數據存儲中竊取數據并實現其他目標。

這些錯誤也是可攻擊的，這意味著同一網絡上的多個多功能數碼復合機可能會自動受到影響。

"人們很容易忘記，現代多功能數碼復合機是功能齊全的計算機，威脅行為者可以像其他工作站和端點一樣受到損害。就像其他端點一樣，攻擊者可以利用受感染的設備來破壞組織的基礎設施和運營，"F-Secure的Hirvonen解釋說。

"經驗豐富的威脅行為者將不安全的設備視為機會，因此，像其他端點一樣不優先考慮保護其多功能數碼復合機的組織會讓自己面臨像我們研究中記錄的攻擊。

HP 已針對這些漏洞發布了修補程序，這些漏洞被描述為"中"（CVE-2021-39237）和嚴重嚴重性（CVE-2021-39238）。

雖然它們只被認為可以被高級目標攻擊者利用，但敦促企業盡快修補它們。