Компания HP выпустила срочный апдейт прошивки для более чем полутора сотен своих принтеров. Причиной внепланового обновления стали два критических бага, обнаруженных в программном обеспечении печатающих устройств. Уязвимости допускают удаленное выполнение кода и затрагивают широкий спектр бизнес-моделей.

Бреши в прошивках позволяют удаленному злоумышленнику отправить на принтер вредоносный файл, который вызывает переполнение стека или статического буфера. Результатом такой атаки может быть выполнение на устройстве стороннего кода. Уязвимости признаны критическими и имеют рейтинг 9,8 баллов по шкале CVSS.

Под угрозой взлома оказались 166 моделей струйных принтеров HP линеек Pagewide Pro, DesignJet, Officejet, Deskjet и Envy. Они предназначены для использования на предприятиях и имеют прямое подключение к корпоративной сети. Производитель выпустил обновление прошивки для всех скомпрометированных устройств и рекомендует незамедлительно его установить. Баги зарегистрированы под идентификаторами CVE-2018-5924 и CVE-2018-5925, однако их технические детали скрыты из соображений безопасности.

Информация о критических угрозах была обнародована HP 3 августа, через два дня после объявления программы bug bounty, направленной на поиск уязвимостей в принтерах. Производитель обещал выплатить исследователям до $10 тыс. за бреши, найденные в программном обеспечении печатающих устройств. Этичным хакерам предложили удаленно взломать любую из 15 моделей сетевых принтеров, расположенных в офисе HP. Как сообщает производитель, пропатченные дыры были обнаружены сторонними ИБ-специалистами.

Предыдущее сообщение о масштабном апдейте прошивок печатающих устройств HP относится к ноябрю прошлого года. Тогда производитель обновил программное обеспечение 54 принтеров семейств LaserJet Enterprise, PageWide Enterprise и OfficeJet. Уязвимость позволяла выполнять удаленный код через обратный инжиниринг системных DBL-файлов.

Категории: Уязвимости