Компания не сильно спешит и обещает выпустить исправление в течение трёх месяцев.
Буквально несколько дней назад стало известно , что десятки моделей принтеров HP уязвимы из-за проблемы с безопасностью, которая потенциально может позволить злоумышленникам получить удалённый доступ к конфиденциальной информации пользователей. Уязвимость отслеживается под идентификатором CVE-2023-1707 и имеет оценку CVSS 9,1 из 10. Как сообщает сама компания, ни одного случая эксплуатации данной уязвимости пока что не было замечено в дикой природе (ITW).
Как сообщается, проблема затрагивает лишь небольшое количество принтеров HP с микропрограммой FutureSmart версии 5.6 и включенным протоколом IPsec. Пока не будет выпущено исправление безопасности, компания предлагает временный обходной путь для затронутых устройств — откат на предыдущую версию прошивки (FutureSmart версии 5.5.0.3) до тех пор, пока не будет развернуто исправление. Полный список затронутых принтеров можно найти на странице поддержки HP.
FutureSmart — это проприетарное микропрограммное обеспечение HP, которое работает на самых мощных принтерах корпоративного класса компании и помогает системным администраторам управлять и поддерживать различные функции в парке корпоративных устройств. Что касается IPsec (Internet Protocol Security), это набор протоколов безопасности IP-сети, предназначенный для предотвращения удалённого доступа злоумышленников к корпоративным сетям. Иронично, что именно этот протокол стал ключевым элементом для компрометации программного обеспечения.
Это не первый случай, когда принтеры HP подвергаются рискам из-за уязвимостей в системе безопасности. В прошлом году компания опубликовала рекомендации по безопасности сразу для трёх уязвимостей, которые могут привести к удалённому выполнению кода на скомпрометированных машинах. Среди затронутых устройств были многие линейки принтеров HP: LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet. В конечном итоге HP выпустила обновления безопасности для большинства уязвимых продуктов, а также предложила инструкции по смягчению последствий для тех моделей, которые не удалось исправить.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале