HP ประกาศว่าจะใช้เวลาสูงสุด 90 วัน ในการดำเนินการแก้ไขช่องโหว่ระดับ critical ที่ส่งผลกระทบต่อเฟิร์มแวร์ของเครื่องพิมพ์ระดับธุรกิจ
CVE-2023-1707 (CVSS 9.1/10 ความรุนแรงระดับ critical) เป็นช่องโหว่ information disclosure ที่ส่งผลกระทบต่อเครื่องพิมพ์ HP Enterprise LaserJet และ HP LaserJet Managed ประมาณ 50 รุ่น
โดยช่องโหว่ดังกล่าวจำเป็นต้องเรียกใช้ผ่านเฟิร์มแวร์ FutureSmart เวอร์ชัน 5.6 เท่านั้น และต้องมีการเปิดใช้งาน IPsec (Internet Protocol Security) ซึ่งเป็นโปรโตคอลด้านความปลอดภัยของ IP ที่ใช้ในเครือข่ายองค์กรเพื่อรักษาความปลอดภัยในการสื่อสารระยะไกล หรือภายใน และป้องกันการเข้าถึงระบบโดยไม่ได้รับอนุญาต รวมถึงเครื่องพิมพ์ โดย FutureSmart ช่วยให้ผู้ใช้งานสามารถทำงาน และกำหนดค่าเครื่องพิมพ์ได้จากแผงควบคุมที่มีอยู่ในเครื่องพิมพ์ หรือจากเว็บเบราว์เซอร์สำหรับการเข้าถึงจากภายนอก
โดยหากสามารถโจมตีได้สำเร็จอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญที่ส่งระหว่างเครื่องพิมพ์ HP ที่มีช่องโหว่ และอุปกรณ์อื่น ๆ บนเครือข่าย
เครื่องพิมพ์ที่ได้รับผลกระทบจาก CVE-2023-1707
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn
- HP Color LaserJet Managed MFP E78523, E78528
- HP Color LaserJet Managed MFP E786
- HP Color LaserJet Managed Flow MFP E786
- HP Color LaserJet Managed MFP E78625/30/35
- HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877, E87740/50/60/70
- HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730,
- HP LaserJet Managed MFP E73025, E73030
- HP LaserJet Managed MFP E731
- HP LaserJet Managed Flow MFP M731
- HP LaserJet Managed MFP E73130/35/40
- HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn
- HP LaserJet Managed Flow MFP E826z
- HP LaserJet Managed E82650/60/70
- HP LaserJet Managed E82650/60/70
การป้องกัน
HP แจ้งว่าการอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวจะถูกเผยแพร่ภายใน 90 วัน ดังนั้นในตอนนี้แนะนำให้ผู้ใช้งานที่ใช้ FutureSmart 5.6 ทำการปรับลด downgrade เฟิร์มแวร์เป็นเวอร์ชัน FS 5.5.0.3 ไปก่อนเพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว
ที่มา : bleepingcomputer
You must be logged in to post a comment.