HP本周披露了一个涉及数十款激光打印机的重大漏洞CVE-2023-1707,成功的攻击将允许黑客访问同一网络上设备与打印机之间的传输资讯,HP建议用户暂时降级至无漏洞的旧版固件,而真正的修补程序则预计会在90天内出炉。
根据HP的说明,受到波及的是采用FutureSmart 5.6版的特定HP Enterprise LaserJet与HP LaserJet Managed Printers,而且这些激光打印机必须激活IPsec安全协议。
尽管HP并未公布漏洞细节,仅说这是个人信息讯披露漏洞,但由于IPsec是个应用于企业网络的安全协议,负责捍卫内部通信的安全,并防止未经授权的资产访问,而FutureSmart则允许用户自远程配置打印机,意味该漏洞将让黑客得以访问打印机与网络设备之间的通信,其CVSS风险等级高达9.1。
但凡是安装FutureSmart 5.6并激活IPsec的HP打印机都可能受到波及,估计约影响50款打印机,目前HP尚未发布修补程序,建议用户降级到更早之前的FutureSmart版本以暂时应对。