HP vai demorar 90 dias a corrigir falha grave em impressoras
A HP confirmou que poderá demorar até 90 dias para corrigir uma falha existente sobre algumas das impressoras comerciais da empresa, focadas para empresas. A falha é classificada como critica, e pode permitir o controlo dos dispositivos remotamente.
Esta falha afeta 50 impressoras HP Enterprise LaserJet e HP LaserJet Managed, tendo uma classificação CVSS v3.1 de 9.1 em 10. A empresa afirma que a exploração da falha pode permitir a recolha de informações sensíveis dos clientes, e eventualmente pode levar a que sistemas na rede sejam também comprometidos.
Apesar da gravidade, para a falha ser explorada existem alguns requisitos que necessitam de se encontrar nas impressoras, nomeadamente o facto que as mesmas necessitam de estar com o firmware FutureSmart 5.6 e terem o IPsec ativo.
A falha, se explorada, pode permitir aos atacantes usarem as impressoras para recolher informações que sejam transmitidas entre a mesma e os dispositivos na rede. Isto pode incluir documentos que tenham sido enviados para a impressora.
A falha afeta os seguintes modelos:
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528
- HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030
- HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70
A HP afirma que os modelos afetados devem começar a receber a atualização de firmware durante os próximos 90 dias, portanto, apesar de a falha ser conhecida, ainda não existe nenhuma correção para a mesma.
Os utilizadores que tenham modelos afetados por esta falha são aconselhados a realizarem o downgrade do firmware para uma versão anterior as 5.6, ou a desativarem o IPsec na rede – o que não será de todo recomendado para a segurança dos sistemas na mesma.
A última alternativa será aguardar que a HP forneça a atualização oficial com a correção aplicada.