HP a publié des avis de sécurité pour trois vulnérabilités de gravité critique affectant des centaines de ses modèles d’imprimantes LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format et DeskJet.
Le premier bulletin de sécurité met en garde contre une faille de débordement de tampon qui pourrait conduire à l’exécution de code à distance sur la machine affectée. Suivi sous le numéro CVE-2022-3942, le problème de sécurité a été signalé par l’équipe Zero Day Initiative de Trend Micro.
Bien qu’il ait un score de gravité de 8,4 (élevé), tel que calculé avec le système CVSS (Common Vulnerability Scoring System), HP répertorie la gravité du bug comme critique.
« Certains produits d’impression HP et produits d’envoi numérique peuvent être vulnérables à l’exécution potentielle de code à distance et au débordement de la mémoire tampon avec l’utilisation de la résolution de nom de multidiffusion de liaison locale ou LLMNR. » lit le conseil.
HP a publié des mises à jour de sécurité du micrologiciel pour la plupart des produits concernés. Pour les modèles sans correctif, la société fournit des instructions d’atténuation qui tournent principalement autour de la désactivation de LLMNR (Link-Local Multicast Name Resolution) dans les paramètres réseau.
Les étapes de désactivation des protocoles réseau inutilisés à l’aide du serveur Web intégré (EWS) pour LaserJet Pro sont disponible ici. D’autres catégories de produits peuvent suivre le guide publié ici.
Deuxième série de défauts
UNE deuxième bulletin de sécurité de HP met en garde contre deux vulnérabilités critiques et une de haute gravité qui pourraient être exploitées pour la divulgation d’informations, l’exécution de code à distance et le déni de service.
Les trois vulnérabilités sont suivies comme CVE-2022-24291 (score de gravité élevé : 7,5), CVE-2022-24292 (score de gravité critique : 9,8) et CVE-2022-24293 (score de gravité critique : 9,8). Le mérite de les avoir signalés revient également à l’équipe Zero Day Initiative.
Dans ce cas également, la recommandation officielle est de mettre à jour le micrologiciel de votre imprimante vers les versions désignées, mais cela n’est pas disponible pour tous les modèles concernés.
Il n’y a aucun conseil d’atténuation pour résoudre le problème pour l’un des modèles LaserJet Pro répertoriés, mais il a été marqué comme en attente, de sorte que les mises à jour de sécurité pour celui-ci devraient être bientôt disponibles.
Les administrateurs de tous les autres modèles peuvent visiter le logiciel officiel de HP et portail de téléchargement de pilotesnaviguez pour sélectionner leur modèle d’appareil et installez la dernière version disponible du micrologiciel.
Bien que peu de détails aient été publiés sur ces vulnérabilités, les répercussions de l’exécution de code à distance et de la divulgation d’informations sont généralement considérables et potentiellement désastreuses.
En tant que tel, il est recommandé d’appliquer les mises à jour de sécurité dès que possible, de placer les appareils derrière un pare-feu réseau et d’imposer des politiques de restriction d’accès à distance.