Hundreds of HP printer models vulnerable to remote code execution
2022/03/22 BleepingComputer — HP は、同社のプリンタ・シリーズである LaserJet Pro/Pagewide Pro/OfficeJet/Enterprise/Large Format/DeskJet の数百モデルに影響を及ぼす、3つの深刻な脆弱性についてセキュリティ勧告を発表した。1つ目のセキュリティ・アドバイザリは、バッファ・オーバーフローの脆弱性であり、リモートからコードを実行される可能性がある。この問題は、Trend Micro の Zero Day Initiative チームにより報告され、CVE-2022-3942として追跡されている。深刻度を示す CVSS スコアは 8.4 だが、HP は Critical に位置付けている。
このアドバイザリには、「特定の HP プリンタ製品とデジタル送信製品には、Link-Local Multicast Name Resolution (LLMNR) の使用の際に、リモートコード実行とバッファ・オーバーフローが生じる可能性がある」と記されている。
HP は、影響を受ける製品の大半に対して、ファームウェア・アップデートをリリースしている。パッチが適用されないモデルについては、ネットワーク設定で LLMNR を無効にすることなどの緩和策が提供されている。
LaserJet Pro の EWS (Embedded Web Server) を用いて、使用されていないネットワーク・プロトコルを無効にする手順は、ココで参照できる。その他の製品カテゴリーについては、ココに掲載されているガイドに従ってほしい。
2つ目の不具合
HP からの発表された2つ目のセキュリティ情報には、情報漏洩/リモートコード実行/サービス拒否などに悪用される可能性のある、3つの深刻な脆弱性が記されている。これらの3つの脆弱性は、CVE-2022-24291 (CVSS: 7.5)/CVE-2022-24292 (CVSS: 9.8)/CVE-2022-24293 (CVSS: 9.8) として追跡調査されている。これらの報告も、Zero Day Initiative チームの功績である。この場合も、プリンターのファームウェアを、指定されたバージョンに更新することが公式に推奨されているが、影響を受ける全てモデルで利用できるわけではない。
リストアップされた LaserJet Pro の1機種については、問題を改善するための緩和策はなく、保留とされているが、間もなくセキュリティ・アップデートが適用されるはずだ。
その他の機種の管理者は、HP の公式ソフトウェアおよびドライバーのダウンロードポータルにアクセスし、デバイス・モデルを選択し、利用可能な最新のファームウェア・バージョンをインストールすることが可能となっている。
これらの脆弱性についての詳細は、現時点では公表されていないが、リモートでのコード実行や情報公開の影響は広範囲におよぶため、深刻な状況に陥る可能性もある。
そのため、可能な限り早急にセキュリティ・アップデートを適用し、デバイスをネットワーク・ファイアウォールの背後に置き、リモートアクセス制限ポリシーを適用することが推奨される。
このところの HP プリンターに関連する記事としては、2021年11月3日の「ハッキング・コンテスト Pwn2Own:プリンタ部門で Canon/HP が陥落」や、12月1日の「HP 製プリンタで複数の脆弱性:150 種類のモデルに影響するという」などがあります。また、2021年7月には、「HP / Xerox / Samsung のプリンタ・ドライバで 16年前からの脆弱性が見つかる」という記事もありました。
IoT OT Security News 