HP ha annunciato questa settimana in un bollettino di sicurezza che impiegherà fino a 90 giorni per correggere una vulnerabilità di gravità critica che colpisce il firmware di alcune stampanti aziendali.
Dettagli sulla vulnerabilità
La problematica di sicurezza è tracciata come CVE-2023-1707 e riguarda circa 50 modelli di stampanti HP Enterprise LaserJet e HP LaserJet Managed. L’azienda ha calcolato un punteggio di gravità di 9.1 su 10 utilizzando lo standard CVSS v3.1 e sottolinea che sfruttarla potrebbe portare alla divulgazione di informazioni. Nonostante l’alto punteggio, il contesto di sfruttamento è limitato, poiché i dispositivi vulnerabili devono eseguire la versione 5.6 del firmware FutureSmart e avere IPsec abilitato.
Impatto della vulnerabilità
In questo caso, il difetto nella divulgazione delle informazioni potrebbe consentire a un attaccante di accedere a informazioni sensibili trasmesse tra le stampanti HP vulnerabili e altri dispositivi sulla rete. Nonostante sia stata contattata, HP non ha fornito dichiarazioni riguardo all’esatto impatto del problema e se vi sono segni di sfruttamento attivo.
Aggiornamento del firmware in arrivo
HP afferma che un aggiornamento del firmware che affronta la vulnerabilità sarà rilasciato entro 90 giorni, quindi al momento non è disponibile alcuna correzione. La mitigazione consigliata per i clienti che utilizzano FutureSmart 5.6 è di eseguire il downgrade della versione del firmware a FS 5.5.0.3.
Cosa fare per il momento?
Gli utenti sono invitati a scaricare il pacchetto firmware dal portale ufficiale di download di HP, dove possono selezionare il modello della loro stampante e ottenere il software pertinente.
