HP met en garde contre plusieurs vulnérabilités majeures. Des centaines d’imprimantes de la marque sont vulnérables.
Les séries HP en question sont LaserJet Pro, Pragewide Pro, OfficeJet, Enterprise, Large Format et DeskJet. De nombreuses imprimantes sont donc concernées par ces vulnérabilités. L’exploitation de ces vulnérabilités permet aux parties malveillantes d’exécuter du code externe.
Solution partielle
HP a déjà été en mesure de publier une mise à jour pour presque tous les modèles qui élimine l’une des vulnérabilités. Le fabricant demande donc d’installer rapidement la mise à jour. Les personnes autorisées peuvent se rendre sur cette page, sélectionner le modèle qu’elles possèdent et installer les mises à jour.
Pour certains modèles, aucune mise à jour n’est disponible. HP recommande de désactiver manuellement Link-Local Multicast Name Resolution dans les paramètres du réseau. Un plan détaillé pour le LaserJet Pro peut être trouvé ici, pour les autres modèles, vous pouvez aller ici.
La vulnérabilité a été classée par CVSS comme un risque de 8,4 sur 10. HP a été informé de la vulnérabilité par l’équipe Zero Day Initiative de Trend Micro.
Autres faiblesses
Une mise à jour pour une vulnérabilité est disponible, mais cela ne résout pas tous les problèmes. Un deuxième rapport de l’équipe Zero Day Initiative a informé le fabricant de trois autres vulnérabilités.
CVE-2022-24291 a un score de vulnérabilité plus faible (7,5 sur 10). Les autres vulnérabilités, CVE-2022-24292 et CVE-2022-24293, reçoivent toutes deux un score de 9,8.
Encore une fois, HP dispose de mises à jour qui éliminent ces problèmes. Toutefois, là encore, certains modèles sont actuellement non protégés. Par exemple, les mises à jour pour les modèles LaserJet Pro ne sont pas disponibles, mais HP y travaille.