HP, bu hafta bir güvenlik bülteninde, belirli iş sınıfı yazıcıların ürün yazılımını etkileyen kritik önemdeki bir güvenlik açığını düzeltmenin 90 güne kadar süreceğini duyurdu.
Güvenlik sorunu CVE-2023-1707 olarak izlenir ve yaklaşık 50 HP Enterprise LaserJet ve HP LaserJet Yönetilen Yazıcı modelini etkiler.
Şirket, CVSS v3.1 standardını kullanarak 10 üzerinden 9,1’lik bir önem puanı hesapladı ve bundan yararlanmanın potansiyel olarak bilgilerin ifşa edilmesine yol açabileceğini belirtiyor.
Yüksek puana rağmen, savunmasız cihazların FutureSmart üretici yazılımı sürüm 5.6’yı çalıştırması ve IPsec’i etkinleştirmesi gerektiğinden, kısıtlayıcı bir istismar bağlamı vardır.
IPsec (İnternet Protokolü Güvenliği), uzak veya dahili iletişimleri güvence altına almak ve yazıcılar da dahil olmak üzere varlıklara yetkisiz erişimi önlemek için kurumsal ağlarda kullanılan bir IP ağ güvenlik protokolü paketidir.
FutureSmart, kullanıcıların yazıcılarda bulunan bir kontrol panelinden veya uzaktan erişim için bir web tarayıcısından yazıcıları çalıştırmasına ve yapılandırmasına olanak tanır.
Bu durumda, bilgi ifşa kusuru, bir saldırganın savunmasız HP yazıcıları ile ağdaki diğer cihazlar arasında iletilen hassas bilgilere erişmesine izin verebilir.
BleepingComputer, kusurun tam etkisi ve satıcının aktif istismar belirtileri görüp görmediği hakkında daha fazla bilgi edinmek için HP ile iletişime geçti, ancak yayınlama sırasında herhangi bir açıklama almadık.
Aşağıdaki yazıcı modeli CVE-2023-1707’den etkilenir:
- HP Renkli LaserJet Kurumsal M455
- HP Color LaserJet Kurumsal MFP M480
- HP Color LaserJet Yönetilen E45028
- HP Color LaserJet Yönetilen MFP E47528
- HP Color LaserJet Yönetilen MFP E785dn, HP Color LaserJet Yönetilen MFP E78523, E78528
- HP Color LaserJet Yönetilen MFP E786, HP Color LaserJet Yönetilen Akış MFP E786, HP Color LaserJet Yönetilen MFP E78625/30/35, HP Color LaserJet Yönetilen Akış MFP E78625/30/35
- HP Color LaserJet Yönetilen MFP E877, E87740/50/60/70, HP Color LaserJet Yönetilen Akış E87740/50/60/70
- HP LaserJet Kurumsal M406
- HP LaserJet Kurumsal M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Yönetilen E40040
- HP LaserJet Yönetilen MFP E42540
- HP LaserJet Yönetilen MFP E730, HP LaserJet Yönetilen MFP E73025, E73030
- HP LaserJet Yönetilen MFP E731, HP LaserJet Yönetilen Akış MFP M731, HP LaserJet Yönetilen MFP E73130/35/40, HP LaserJet Yönetilen Akış MFP E73130/35/40
- HP LaserJet Yönetilen MFP E826dn, HP LaserJet Yönetilen Akış MFP E826z, HP LaserJet Yönetilen E82650/60/70, HP LaserJet Yönetilen E82650/60/70
HP, güvenlik açığını gideren bir üretici yazılımı güncellemesinin 90 gün içinde yayınlanacağını söylüyor, bu nedenle şu anda herhangi bir düzeltme mevcut değil.
FutureSmart 5.6 çalıştıran müşteriler için önerilen hafifletme yöntemi, ürün yazılımı sürümlerini FS 5.5.0.3’e düşürmeleridir.
Kullanıcıların ürün yazılımı paketini, yazıcı modellerini seçebilecekleri ve ilgili yazılımı alabilecekleri HP’nin resmi indirme portalından almaları önerilir.