A HP anunciou que irá corrigir um bug crítico em impressoras LaserJet. A informação veio através do site BleepingComputer, onde é dito que a fabricante de impressoras comunicou em seu boletim de segurança sobre a estimativa de 90 dias para a correção de uma vulnerabilidade de gravidade crítica. A vulnerabilidade identificada como CVE-2023-1707 afeta aproximadamente 50 modelos de impressoras HP Enterprise LaserJet e HP LaserJet.

Para facilitar a compreensão do risco de segurança, a HP calculou o nível de gravidade para a falha de segurança. Segundo a empresa, a gravidade foi classificada com uma pontuação de 9,1 em 10 usando o padrão CVSS v3.1.

Você precisa ver

Vulnerabilidade de segurança crítica afeta 50 modelos de impressoras HP

Vulnerabilidade de segurança grave afeta 50 modelos de impressoras HP. Fonte: unsplash (foto por Mahrous Houses)
Vulnerabilidade de segurança grave afeta 50 modelos de impressoras HP. Fonte: unsplash (foto por Mahrous Houses)

Como ocorre a exploração da vulnerabilidade crítica

Embora a pontuação seja alta, existe um contexto para que a exploração ocorra, pois os dispositivos que estão vulneráveis precisam estar com o firmware FutureSmart versão 5.6 e ter o IPsec ativado. Caso não saiba, o IPsec (Internet Protocol Security) é um conjunto de protocolos de segurança de rede IP usado em redes corporativas para proteger comunicações remotas ou internas e impedir o acesso não autorizado a ativos, incluindo impressoras. Já o FutureSmart, permite que a pessoa configure impressoras a partir de um painel de controle disponível na impressora ou via navegador (Exemplo: Chrome, Firefox, Edge), caso queira acessar remotamente.

No caso desta falha de segurança, o problema com a transmissão de informações pode permitir que um invasor acesse dados confidenciais entre impressoras e outros dispositivos na rede. Um porta-voz da HP disse ao BleepingComputer:

O período de exposição a esta vulnerabilidade potencial foi muito pequeno (meados de fevereiro de 2023 até o final de março de 2023) e existia apenas em uma versão específica do firmware (FutureSmart versão 5). Os clientes não podem mais baixar a versão do firmware que tinha essa vulnerabilidade potencial.

Durante esse curto período, se um cliente estiver usando IPsec, os dados do trabalho de digitalização enviados da impressora (por exemplo, digitalização para e-mail ou digitalização para SharePoint) podem ter sido divulgados.

Os dados só eram potencialmente expostos se os usuários digitalizassem um trabalho e o enviassem para um local remoto (como e-mail, SharePoint etc.). As credenciais poderiam ter sido potencialmente expostas se não fossem protegidas por TLS ou outros mecanismos de criptografia subjacentes.

Esse problema foi descoberto pela HP durante nossos próprios testes e resolvido imediatamente. A HP não tem conhecimento de nenhum exploit ativo.

Quais modelos de impressoras HP foram afetadas pela vulnerabilidade de segurança crítica?

De acordo com a HP, os seguintes modelos de impressoras são afetados pela vulnerabilidade CVE-2023-1707:

  • HP Color LaserJet Enterprise M455
  • HP Color LaserJet Enterprise MFP M480
  • HP Color LaserJet gerenciado E45028
  • MFP gerenciado HP Color LaserJet E47528
  • HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
  • HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
  • HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
  • HP LaserJet Enterprise M406
  • HP LaserJet Enterprise M407
  • HP LaserJet Enterprise MFP M430
  • HP LaserJet Enterprise MFP M431
  • HP LaserJet gerenciado E40040
  • HP LaserJet Managed MFP E42540
  • HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
  • HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
  • HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70

HP promete uma atualização para corrigir vulnerabilidade, mas pede 90 dias para isso

Infelizmente a HP disse que pode demorar até 90 dias para lançar novas versões dos firmwares das impressoras afetadas. Até o momento, não há uma correção.

Solução temporária recomendada pela HP

A HP recomenda que os usuários das impressoras afetadas que utilizam o FutureSmart 5.6 façam downgrade de firmware para a versão 5.5.0.3. O download pode ser feito no site oficial da HP, onde é possível selecionar o modelo da impressora e obter a o firmware correto.

A HP recomenda reverter imediatamente para uma versão anterior do firmware (FutureSmart versão 5.5.0.3). O firmware atualizado para resolver o problema é esperado dentro de 90 dias.