Bug crítico em impressoras HP LaserJet será corrigido em 90 dias

A HP anunciou que um bug crítico em impressoras HP LaserJet será corrigido em 90 dias. Confira os detalhes desse problema de segurança.

A HP é uma das principais fabricantes de impressoras laserjet no mercado. Eles fabricam as mais modernas e avançadas impressoras laserjet, usando tecnologia de última geração.

As impressoras HP são projetadas para atender às necessidades de usuários domésticos, empresariais e profissionais. Além disso, elas são compatíveis com uma ampla variedade de equipamentos, desde computadores de mesa até impressoras de grande porte.

Agora, a HP anunciou em um boletim de segurança esta semana que levaria até 90 dias para corrigir uma vulnerabilidade de gravidade crítica que afeta o firmware de certas impressoras de nível empresarial.

Bug crítico em impressoras HP LaserJet será corrigido em 90 dias

Bug crítico em impressoras HP LaserJet será corrigido em 90 dias
Bug crítico em impressoras HP LaserJet será corrigido em 90 dias

O problema de segurança é rastreado como CVE-2023-1707 e afeta cerca de 50 modelos de impressoras gerenciadas HP Enterprise LaserJet e HP LaserJet.

A empresa calculou uma pontuação de gravidade de 9,1 em 10 usando o padrão CVSS v3.1 e observa que explorá-lo poderia potencialmente levar à divulgação de informações.

Apesar da pontuação alta, há um contexto de exploração restritivo, pois os dispositivos vulneráveis precisam executar o firmware FutureSmart versão 5.6 e ter o IPsec ativado.

Para quem não conhece, o IPsec (Internet Protocol Security) é um conjunto de protocolos de segurança de rede IP usado em redes corporativas para proteger comunicações remotas ou internas e impedir o acesso não autorizado a ativos, incluindo impressoras.

Do mesmo modo, o FutureSmart permite que os usuários trabalhem e configurem impressoras a partir de um painel de controle disponível na impressora ou de um navegador da Web para acesso remoto.

Nesse caso, a falha de divulgação de informações pode permitir que um invasor acesse informações confidenciais transmitidas entre as impressoras HP vulneráveis e outros dispositivos na rede.

Os seguintes modelos de impressora são afetados pelo CVE-2023-1707:

  • HP Color LaserJet Enterprise M455
  • HP Color LaserJet Enterprise MFP M480
  • HP Color LaserJet Managed E45028
  • HP Color LaserJet Managed MFP E47528
  • HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
  • HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
  • HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
  • HP LaserJet Enterprise M406
  • HP LaserJet Enterprise M407
  • HP LaserJet Enterprise MFP M430
  • HP LaserJet Enterprise MFP M431
  • HP LaserJet Managed E40040
  • HP LaserJet Managed MFP E42540
  • HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
  • HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
  • HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70

A HP diz que uma atualização de firmware que aborda a vulnerabilidade será lançada em 90 dias, portanto, não há correção disponível no momento.

A atenuação recomendada para clientes que executam o FutureSmart 5.6 é fazer downgrade de sua versão de firmware para FS 5.5.0.3.

“A HP recomenda reverter imediatamente para uma versão anterior do firmware (FutureSmart versão 5.5.0.3). O firmware atualizado para resolver o problema é esperado dentro de 90 dias.” – HP

Recomenda-se que os usuários obtenham o pacote de firmware no portal de download oficial da HP, onde podem selecionar o modelo da impressora e obter o software relevante.

O site BleepingComputer entrou em contato com a HP para saber mais sobre o impacto exato da falha e se o fornecedor viu sinais de exploração ativa, mas não receberam nenhuma declaração no momento da publicação inicial do artigo deles.

Por fim, em resposta ao questionamento do site BleepingComputer, um porta-voz da HP enviou o seguinte comentário:

“O período de exposição a esta vulnerabilidade potencial foi muito pequeno (meados de fevereiro de 2023 até o final de março de 2023) e existia apenas em uma versão específica do firmware (FutureSmart versão 5). Os clientes não podem mais baixar a versão do firmware que tinha essa vulnerabilidade potencial.”

“Durante esse curto período, se um cliente estiver usando IPsec, os dados do trabalho de digitalização enviados da impressora (por exemplo, digitalização para e-mail ou digitalização para SharePoint) podem ter sido divulgados.”

“Os dados só eram potencialmente expostos se os usuários digitalizassem um trabalho e o enviassem para um local remoto (como e-mail, SharePoint etc.). As credenciais poderiam ter sido potencialmente expostas se não fossem protegidas por TLS ou outros mecanismos de criptografia subjacentes.”

“Esse problema foi descoberto pela HP durante nossos próprios testes e resolvido imediatamente. A HP não tem conhecimento de nenhum exploit ativo.”

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.