HP a annoncé dans un bulletin de sécurité cette semaine qu’il faudrait jusqu’à 90 jours pour corriger une vulnérabilité de gravité critique qui affecte le micrologiciel de certaines imprimantes professionnelles.
Le problème de sécurité est identifié comme CVE-2023-1707 et affecte environ 50 modèles d’imprimantes HP Enterprise LaserJet et HP LaserJet Managed.
La société a calculé un score de gravité de 9,1 sur 10 en utilisant la norme CVSS v3.1 et note que son exploitation pourrait potentiellement conduire à la divulgation d’informations.
Malgré le score élevé, il existe un contexte d’exploitation restrictif car les appareils vulnérables doivent exécuter la version 5.6 du micrologiciel FutureSmart et avoir activé IPsec.
IPsec (Internet Protocol Security) est une suite de protocoles de sécurité réseau IP utilisée dans les réseaux d’entreprise pour sécuriser les communications distantes ou internes et empêcher l’accès non autorisé aux actifs, y compris les imprimantes.
FutureSmart permet aux utilisateurs de travailler et de configurer des imprimantes soit à partir d’un panneau de commande disponible sur l’imprimante, soit à partir d’un navigateur Web pour un accès à distance.
Dans ce cas, la faille de divulgation d’informations pourrait permettre à un attaquant d’accéder à des informations sensibles transmises entre les imprimantes HP vulnérables et d’autres périphériques sur le réseau.
Breachtrace a contacté HP pour en savoir plus sur l’impact exact de la faille et si le fournisseur a vu des signes d’exploitation active, mais nous n’avons reçu aucune déclaration au moment de la publication.
Le modèle d’imprimante suivant est affecté par CVE-2023-1707 :
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
- HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
- HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70
HP indique qu’une mise à jour du micrologiciel qui corrige la vulnérabilité sera publiée dans les 90 jours, il n’y a donc actuellement aucun correctif disponible.
L’atténuation recommandée pour les clients exécutant FutureSmart 5.6 consiste à rétrograder leur version de micrologiciel vers FS 5.5.0.3.
« HP recommande de revenir immédiatement à une version antérieure du micrologiciel (FutureSmart version 5.5.0.3). Le micrologiciel mis à jour pour résoudre le problème est attendu dans les 90 jours. -HP
Il est recommandé aux utilisateurs de se procurer le progiciel sur le portail de téléchargement officiel de HP, où ils peuvent sélectionner leur modèle d’imprimante et obtenir le logiciel approprié.