เมนู

ด่วน! พบช่องโหว่ใน HP LaserJet หลายรุ่นที่ยังไม่ได้รับการแก้ไข

hp printer laserjet

ช่องโหว่มากกว่า 50 รุ่น ใน HP Enterprise LaserJet และ HP LaserJet Managed ซึ่งต้องรอการแก้ไขในอีก 90 วัน

7 เมษายน 2566

พบช่องโหว่ในเฟิร์มแวร์ Future Smart เวอร์ชั่น 5.6 ที่มีความรุนแรงจำนวนมากกว่า 50 รุ่น ส่งผลกระทบต่อการทำงานของ HP LaserJet printer ซึ่งหากมีการใช้งานร่วมกับ IPSec เพื่อสแกนงานแล้วส่งไปยังเครื่องพิมพ์ เช่นส่งไฟล์ข้อมูลงานสแกนผ่านไปยังอีเมลหรือ SharePoint ข้อมูลดังกล่าวอาจถูกผู้โจมตีนำไปเปิดเผยได้ ซึ่งทาง HP ได้แจ้งว่าจะมีการอัพเดทแพตช์สำหรับช่องโหว่ดังกล่าวในอีก 90 วัน

ช่องโหว่ที่พบนั้นมีความเสี่ยงสูง โดยผู้โจมตีนั้นใช้ประโยชน์จากข้อบกพร่องของเฟิร์มแวร์ โดยเรียกใช้เฟิร์มแวร์ชื่อ Future Smart เวอร์ชั่น 5.6 และพร้อมเปิดใช้งาน IPSec เพื่อการควบคุมเครื่องพิมพ์จากระยะไกล สำหรับช่องโหว่ดังกล่าว HP LaserJet Printer มีรายละเอียดดังนี้

• CVE-2023-1707 (CVSS: 9.1) Critical Severity เป็นช่องโหว่ FutureSmart เวอร์ชั่น 6 พร้อมเปิดใช้งานร่วมกับ IPSec ส่งผลให้ผู้โจมตีใช้ประโยชน์เข้าถึงข้อมูลรับส่งระหว่าง HP Printer และ PC จากระยะไกล หากผู้โจมตีเข้าถึงได้จะสามารถเชื่อมต่อไปยังเครื่อง PC หรืออุปกรณ์อื่นๆ บนเครือข่ายได้

ตัวอย่างช่องโหว่ใน HP Laser Printer บางรุ่นของกลุ่ม HP Enterprise Laser Jet และ HP LaserJet Managed
• HP Color LaserJet Enterprise M455
• HP Color LaserJet Enterprise MFP M480
• HP Color LaserJet Managed E45028
• HP Color LaserJet Managed MFP E47528
• HP LaserJet Enterprise M406
• HP LaserJet Enterprise M407
• HP LaserJet Enterprise MFP M430
• HP LaserJet Enterprise MFP M431
• HP LaserJet Managed E40040
• HP LaserJet Managed MFP E42540

ท้ายสุดแล้วทาง HP ได้ออกมาแนะนำให้เปลี่ยนย้อนกลับ(Downgrade) เวอร์ชั่นเป็นเฟิร์มแวร์เวอร์ชั่นก่อนหน้าคือ FutureSmart เวอร์ชั่น 5.5.0.3 เพื่อป้องกันภัยจากผู้โจมตีและความปลอดภัยของผู้ใช้งาน

อ้างอิง : hpsupport.com

beepingcomputer.com