HP は今週のセキュリティ速報で、特定のビジネス グレード プリンターのファームウェアに影響を与える重大な脆弱性にパッチを適用するには、最大 90 日かかると発表しました。
セキュリティの問題は CVE-2023-1707 として追跡されており、約 50 の HP Enterprise LaserJet および HP LaserJet マネージド プリンター モデルに影響します。
同社は、CVSS v3.1 標準を使用して 10 段階中 9.1 の重大度スコアを計算し、それを悪用すると情報漏えいにつながる可能性があると指摘しています。
高スコアにもかかわらず、脆弱なデバイスは FutureSmart ファームウェア バージョン 5.6 を実行し、IPsec を有効にする必要があるため、悪用のコンテキストは限定的です。
IPsec (インターネット プロトコル セキュリティ) は、企業ネットワークで使用される IP ネットワーク セキュリティ プロトコル スイートで、リモートまたは内部通信を保護し、プリンターなどの資産への不正アクセスを防ぎます。
FutureSmart を使用すると、ユーザーは、プリンターで使用可能なコントロール パネルから、またはリモート アクセス用の Web ブラウザーから、プリンターの作業と構成を行うことができます。
この場合、情報漏えいの欠陥により、脆弱な HP プリンターとネットワーク上の他のデバイスとの間で送信される機密情報に攻撃者がアクセスできる可能性があります。
は HP に連絡して、この欠陥の正確な影響と、ベンダーが積極的な悪用の兆候を確認しているかどうかを確認しましたが、公開時に声明を受け取っていません。
次のプリンター モデルは、CVE-2023-1707 の影響を受けます。
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet マネージ E45028
- HP Color LaserJet マネージド MFP E47528
- HP Color LaserJet マネージド MFP E785dn、HP Color LaserJet マネージド MFP E78523、E78528
- HP Color LaserJet マネージド MFP E786、HP Color LaserJet マネージド フロー MFP E786、HP Color LaserJet マネージド MFP E78625/30/35、HP Color LaserJet マネージド フロー MFP E78625/30/35
- HP Color LaserJet マネージド MFP E877、E87740/50/60/70、HP Color LaserJet マネージド フロー E87740/50/60/70
- HP LaserJet エンタープライズ M406
- HP LaserJet エンタープライズ M407
- HP LaserJet エンタープライズ MFP M430
- HP LaserJet エンタープライズ MFP M431
- HP LaserJet マネージド E40040
- HP LaserJet マネージド MFP E42540
- HP LaserJet マネージド MFP E730、HP LaserJet マネージド MFP E73025、E73030
- HP LaserJet マネージド MFP E731、HP LaserJet マネージド フロー MFP M731、HP LaserJet マネージド MFP E73130/35/40、HP LaserJet マネージド フロー MFP E73130/35/40
- HP LaserJet Managed MFP E826dn、HP LaserJet Managed Flow MFP E826z、HP LaserJet Managed E82650/60/70、HP LaserJet Managed E82650/60/70
HP は、脆弱性に対処するファームウェア アップデートが 90 日以内にリリースされると述べているため、現在利用できる修正プログラムはありません。
FutureSmart 5.6 を実行しているお客様に推奨される緩和策は、ファームウェア バージョンを FS 5.5.0.3 にダウングレードすることです。
ユーザーは、 HP の公式ダウンロード ポータルからファームウェア パッケージを入手することをお勧めします。ここで、プリンター モデルを選択し、関連するソフトウェアを入手できます。
Comments