Vulnérabilité critique d’exposition de données affectant les imprimantes HP Laserjet

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/017

Date de l’alerte : 06/04/2023

APERÇU :

Les modèles d’imprimantes HP notamment Enterprise LaserJet et LaserJet Managed Printers, présentent une vulnérabilité qui permettrait une divulgation d’informations transmises entre les imprimantes et d’autres périphériques sur le réseau 

DESCRIPTION :

FutureSmart est un micrologiciel (firmware) développé par HP pour ses imprimantes professionnelles. C’est un logiciel conçu pour permettre la configuration de l’imprimante à partir du panneau de commande ou d’une page web dédiée. 

Certaines imprimantes LaserJet exécutant FutureSmart présentent une vulnérabilité critique d’exposition de données libellée CVE-2023-1707. La présence de cette vulnérabilité affectant les imprimantes est due à la version 5.6 du micrologiciel « FutureSmart » et à l’activation de la fonctionnalité IPsec (Internet Protocol Security) dans la configuration de l’imprimante. Une exploitation de la vulnérabilité pourrait permettre l’accès aux données sensibles transmises dans le réseau par les imprimantes HP. 

Cette vulnérabilité est de sévérité critique avec un score de 9.1. 

IMPACT :

  • Atteinte à la confidentialité des données. 

SYSTEMES AFFECTÉS : 

  • HP Color LaserJet Enterprise M455 
  • HP Color LaserJet Enterprise MFP M480 
  • HP Color LaserJet Managed E45028 
  • HP Color LaserJet Managed MFP E47528 
  • HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528 
  • HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35 
  • HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70 
  • HP LaserJet Enterprise M406 
  • HP LaserJet Enterprise M407 
  • HP LaserJet Enterprise MFP M430 
  • HP LaserJet Enterprise MFP M431 
  • HP LaserJet Managed E40040 
  • HP LaserJet Managed MFP E42540 
  • HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030 
  • HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40 
  • HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70 

MESURES À PRENDRE :

Il est fortement recommandé de désactiver le protocole IPsec ou revenir sur une ancienne version du firmware : FutureSmart version 5.5.0.3. 

REFERENCES :

Partagez sur vos réseaux.