HP mengumumkan dalam buletin keamanan minggu ini bahwa diperlukan waktu hingga 90 hari untuk menambal kerentanan kritis yang berdampak pada firmware printer kelas bisnis tertentu.
Masalah keamanan dilacak sebagai CVE-2023-1707 dan mempengaruhi sekitar 50 model HP Enterprise LaserJet dan HP LaserJet Managed Printers.
Perusahaan menghitung skor keparahan 9,1 dari 10 menggunakan standar CVSS v3.1 dan mencatat bahwa mengeksploitasinya berpotensi menyebabkan pengungkapan informasi.
Meskipun skornya tinggi, ada konteks eksploitasi terbatas karena perangkat yang rentan perlu menjalankan firmware FutureSmart versi 5.6 dan mengaktifkan IPsec.
IPsec (Internet Protocol Security) adalah rangkaian protokol keamanan jaringan IP yang digunakan dalam jaringan perusahaan untuk mengamankan komunikasi jarak jauh atau internal dan mencegah akses tidak sah ke aset, termasuk printer.
FutureSmart memungkinkan pengguna untuk bekerja dan mengonfigurasi printer baik dari panel kontrol yang tersedia di printer atau dari browser web untuk akses jarak jauh.
Dalam kasus ini, celah pengungkapan informasi dapat memungkinkan penyerang mengakses informasi sensitif yang dikirimkan antara printer HP yang rentan dan perangkat lain di jaringan.
BleepingComputer telah menghubungi HP untuk mempelajari lebih lanjut tentang dampak pasti dari cacat tersebut dan jika vendor telah melihat tanda-tanda eksploitasi aktif, tetapi kami tidak menerima pernyataan pada waktu publikasi.
Model printer berikut dipengaruhi oleh CVE-2023-1707:
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Perusahaan MFP M480
- HP Color LaserJet Dikelola E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Dikelola MFP E785dn, HP Color LaserJet Dikelola MFP E78523, E78528
- HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Perusahaan M406
- HP LaserJet Perusahaan M407
- HP LaserJet Perusahaan MFP M430
- HP LaserJet Perusahaan MFP M431
- HP LaserJet Dikelola E40040
- HP LaserJet Managed MFP E42540
- MFP yang Dikelola HP LaserJet E730, MFP yang Dikelola HP LaserJet E73025, E73030
- HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70
HP mengatakan pembaruan firmware yang mengatasi kerentanan akan dirilis dalam 90 hari, jadi saat ini belum ada perbaikan yang tersedia.
Mitigasi yang disarankan untuk pelanggan yang menjalankan FutureSmart 5.6 adalah menurunkan versi firmware mereka ke FS 5.5.0.3.
Pengguna disarankan untuk mengambil paket firmware dari Portal unduhan resmi HPdi mana mereka dapat memilih model printer mereka dan mendapatkan perangkat lunak yang relevan.
