En un mot: Des dizaines d’imprimantes HP sont vulnérables à un problème de sécurité qui pourrait potentiellement permettre à des attaquants d’accéder à des informations sensibles. La société est consciente du problème et travaille sur une mise à jour qui sera déployée plus tard cette année. En attendant, HP suggère aux utilisateurs de rétrograder la version du micrologiciel des modèles concernés comme solution de contournement temporaire pour atténuer le problème.
HP a annoncé un délai définitif pour déployer les mises à jour de sécurité afin de corriger une vulnérabilité critique qui affecte bon nombre de ses imprimantes. Le problème, qui, selon la société, rend les machines compromises vulnérables à la « divulgation d’informations », est suivi comme CVE-2023-1707 et a un score de gravité de 9,1 sur 10 (CVSS v3.1).
Selon HP, un correctif est en préparation et il sera déployé dans les 90 jours sur toutes ses imprimantes Enterprise LaserJet et LaserJet Managed touchées par la vulnérabilité. Heureusement, le problème n’affecte qu’un petit nombre d’imprimantes qui exécutent la version 5.6 du micrologiciel FutureSmart et sur lesquelles IPsec est activé.
Jusqu’à ce que le correctif de sécurité soit déployé, HP propose une solution de contournement temporaire pour les appareils concernés. Cela implique de rétrograder vers une version antérieure du micrologiciel (FutureSmart version 5.5.0.3) jusqu’à ce que le correctif soit déployé. La liste complète des imprimantes concernées est disponible sur la page d’assistance de HP.
Dans une déclaration à Bleeping Computer, HP a dit que la période d’exposition de la vulnérabilité était comprise entre la mi-février et la fin mars 2023, et n’affectait que certains modèles exécutant FutureSmart version 5. La société a également expliqué que les appareils concernés pourraient théoriquement exposer les données de travail de numérisation envoyées par l’imprimante. Il n’y a aucun cas connu d’exploitation de la vulnérabilité dans la nature.
FutureSmart est le micrologiciel propriétaire de HP qui s’exécute sur les imprimantes professionnelles les plus puissantes de l’entreprise et aide les administrateurs système à gérer et à maintenir diverses fonctionnalités sur le parc d’imprimantes d’entreprise d’une entreprise. Quant à IPsec (Internet Protocol Security), il s’agit d’une suite de protocoles de sécurité réseau IP, destinée à empêcher les acteurs malveillants d’accéder à distance aux réseaux d’entreprise.
Ce n’est pas la première fois que les imprimantes HP sont affectées par des failles de sécurité. L’année dernière, la société a publié des avis de sécurité pour trois vulnérabilités qui pourraient conduire à l’exécution de code à distance sur des machines compromises. Les appareils concernés comprenaient bon nombre de ses modèles d’imprimantes LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format et DeskJet. HP a finalement publié des mises à jour de sécurité pour la plupart des produits concernés et suggéré des instructions d’atténuation pour les modèles qui n’ont pas pu être corrigés.