… estão expostas a uma séria vulnerabilidade por até 90 dias! Eis, o comunicado feito pela HP através de um boletim de segurança, informando não só a existência da vulnerabilidade em questão, como também o tempo que irá levar para providenciar a sua correção. Registrada sob o código CVE-2023-1707 (com pontuação de 9.1/10), ela atinge aproximadamente 50 diferentes modelos, os quais fazem o uso do firmware FutureSmart 5.6 e do protocolo de segurança IPsec…
“HP announced in a security bulletin this week that it would take up to 90 days to patch a critical-severity vulnerability that impacts the firmware of certain business-grade printers. The security issue is tracked as CVE-2023-1707 and it affects about 50 HP Enterprise LaserJet and HP LaserJet Managed Printers models. The company calculated a severity score of 9.1 out of 10 using the CVSS v3.1 standard and notes that exploiting it could potentially lead to information disclosure.”
— by Bleeping Computer.
A vulnerabilidade em questão, possibilita o atacante tirar proveito de uma transmissão de dados feita a partir dos equipamentos afetados para outros dispositivos da infraestrutura, resultando no acesso a informações sensíveis transmitidas entre eles. Conforme as informações dadas pela HP, se um usuário estiver realizando o escaneamento de trabalhos e enviar os dados digitalizados pelo equipamento, as suas credenciais também poderão ser expostas, mesmo que eles estejam utiizando um túnel criptografado e baseado no protocolo IPsec.
A solução paliativa dada pela HP é reverter a instalação do firmware para a versão anterior (5.5.0.3), que por sua vez está livre desta vulnerabilidade (porém, a empresa não informa quais outras falhas estaríamos expostos, já que o firmware em questão é mais antigo e uma nova versão não foi lançada “à toa”). Inclusive, o firmware afetado nem sequer se encontra disponível na página oficial da empresa, designada para o download de drivers, firmwares e outros softwares adicionais.
Por fim, a HP também informa que a vulnerabilidade foi encontrada pela própria empresa, durante os testes que ela promove regularmente para inspecionar os seus produtos e serviços. Além de ter tomado todas as medidas necessárias imediatamente a sua descoberta, a empresa também informa que até o presente momento não tem conhecimento de nenhuma outra falha ativa, reafirmando a sua transparência e boa conduta para a divulgação e resolução dos problemas de segurança.
Bem diferente de outras empresas que já conhecemos… &;-D