Centinaia di stampanti HP LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format e DeskJet sono soggette a quattro vulnerabilità di gravità critica. Il produttore statunitense ha emesso dei bollettini di sicurezza dettagliati e ha prontamente diffuso aggiornamenti risolutivi per la maggior parte dei modelli interessati.

La falla più preoccupante è infatti quella monitorata con la sigla CVE-2022-3942, che ha un punteggio CVSS di 8.4 ed è relativa a un overflow del buffer che potrebbe causare l'esecuzione di codice da remoto sul sistema interessato.

Dato che la falla sfrutta il Link-Local Multicast Name Resolution o LLMNR, per i modelli che restano privi di patch HP ha pubblicato misure di mitigazione che ruotano principalmente attorno alla disabilitazione dell’LLMNR nelle impostazioni di rete. I passaggi per disabilitare i protocolli di rete inutilizzati utilizzando il server Web incorporato (EWS) per LaserJet Pro sono disponibili qui. Altre categorie di prodotti possono seguire la guida pubblicata qui.

Le altre vulnerabilità

Un secondo advisory segnala poi due vulnerabilità critiche e una ad alta gravità che potrebbero essere sfruttate per la divulgazione di informazioni, l'esecuzione di codice da remoto e attacchi Denial of Service. Si tratta delle falle CVE-2022-24291 (CVSS di 7.5), CVE-2022-24292 (CVSS di 9.8) e CVE-2022-24293 (CVSS di 9.8). Anche in questo caso, HP caldeggia l’immediata installazione delle patch mediante aggiornamento del firmware.

Come nel caso precedente, anche qui ci sono dei modelli LaserJet Pro che non sono tutelati dagli update: li trovate elencati nell’avviso di sicurezza. Purtroppo, non ci sono nemmeno misure di mitigazione, che sono in sospeso: probabilmente stanno per arrivare degli aggiornamenti da installare.

Data la situazione, chi ha in gestione una stampante HP è esortato a visitare il portale ufficiale di download di software e driver di HP, selezionare il modello del dispositivo in uso e installare l'ultima versione del firmware disponibile.