F-Secure မှ လုံခြုံရေးသုတေသီများသည် HP LaserJet၊ LaserJet Managed၊ PageWide နှင့် PageWide စီမံထားသော ပရင်တာများနှင့် MFPs ပေါင်း 2021 ကျော်ကို ထိခိုက်စေသည့် အရေးကြီးသော အားနည်းချက် (CVE-39238-150) ကို ဖော်ထုတ်တွေ့ရှိခဲ့သည်။ အားနည်းချက်သည် ပုံနှိပ်ခြင်းအတွက် အထူးဒီဇိုင်းထုတ်ထားသော PDF စာရွက်စာတမ်းကို ပေးပို့ခြင်းဖြင့် သင့်ကုဒ်ကို ဖန်းဝဲလ်အဆင့်တွင် အကောင်အထည်ဖော်နိုင်စေခြင်းဖြင့် ဖောင့်ပရိုဆက်ဆာတွင် ကြားခံလွှမ်းမိုးမှုဖြစ်စေနိုင်သည်။ ပြဿနာသည် 2013 ခုနှစ်ကတည်းက ရှိနေခဲ့ပြီး နို၀င်ဘာ 1 ရက်နေ့တွင် ထုတ်ဝေသော Firmware အပ်ဒိတ်များတွင် ဖြေရှင်းခဲ့သည် (ထုတ်လုပ်သူသည် ဧပြီလတွင် ပြဿနာကို အကြောင်းကြားခဲ့သည်)။
တိုက်ခိုက်မှုကို စက်တွင်းချိတ်ဆက်ထားသော ပရင်တာများနှင့် ကွန်ရက်ပုံနှိပ်စနစ်များတွင် နှစ်မျိုးလုံး လုပ်ဆောင်နိုင်သည်။ ဥပမာအားဖြင့်၊ တိုက်ခိုက်သူသည် အသုံးပြုသူတစ်ဦးအား အန္တရာယ်ရှိသောဖိုင်ကို ပရင့်ထုတ်ရန် အတင်းအကြပ်ခိုင်းစေရန်၊ အသုံးပြုသူစနစ်ဖြင့် ပရင်တာကို တိုက်ခိုက်ရန် သို့မဟုတ် “DNS rebinding” နှင့် ဆင်တူသည့် နည်းလမ်းကို အသုံးပြု၍ အသုံးပြုသူတစ်ဦးက ဖွင့်သည့်အခါ ခွင့်ပြုပေးသော၊ ဘရောက်ဆာရှိ စာမျက်နှာ၊ ပရင်တာ၏ကွန်ရက်အပေါက် (9100/ TCP၊ JetDirect) သို့ HTTP တောင်းဆိုချက်ကို ပေးပို့ရန်၊ အင်တာနက်မှတစ်ဆင့် တိုက်ရိုက်ဝင်ရောက်ခွင့်အတွက် မရရှိနိုင်ပါ။
После успешной эксплуатации уязвимости скомпрометированный принтер может использоваться в качестве плацдарма для совершения атаки на локальную сеть, для сниффинга трафика или для оставления скрытой точки присутствия атакующих в локальной сети. Уязвимость также пригодна для построения ботнетов или создания сетевых червей, сканирующих другие уязвимые системы и пытающихся поразить их. Для снижения вреда от компрометации принтеров рекомендуется помещать сетевые принтеры в отдельный VLAN, ограничить межсетевым экраном установку исходящих сетевых соединений от принтеров и использовать отдельный промежуточный ဆာဗာ печати вместо прямого обращения к принтеру с рабочих станций.
သုတေသီများသည် HP ပရင်တာများတွင် အခြားသော အားနည်းချက် (CVE-2021-39237) ကို ဖော်ထုတ်ခဲ့ပြီး၊ ၎င်းသည် စက်ပစ္စည်းသို့ အပြည့်အဝဝင်ရောက်ခွင့်ရရှိစေပါသည်။ ပထမအားနည်းချက်နှင့်မတူဘဲ၊ တိုက်ခိုက်မှုသည် ပရင်တာသို့ ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခွင့် လိုအပ်သည် (သင် UART ဆိပ်ကမ်းသို့ 5 မိနစ်ခန့် ချိတ်ဆက်ရန် လိုအပ်သည်) ဖြစ်သောကြောင့် ပြဿနာကို အလယ်အလတ်အဆင့်တွင် အန္တရာယ်ပေးထားသည်။
source: opennet.ru
