F-Secure မှ လုံခြုံရေးသုတေသီများသည် HP LaserJet၊ LaserJet Managed၊ PageWide နှင့် PageWide စီမံထားသော ပရင်တာများနှင့် MFPs ပေါင်း 2021 ကျော်ကို ထိခိုက်စေသည့် အရေးကြီးသော အားနည်းချက် (CVE-39238-150) ကို ဖော်ထုတ်တွေ့ရှိခဲ့သည်။ အားနည်းချက်သည် ပုံနှိပ်ခြင်းအတွက် အထူးဒီဇိုင်းထုတ်ထားသော PDF စာရွက်စာတမ်းကို ပေးပို့ခြင်းဖြင့် သင့်ကုဒ်ကို ဖန်းဝဲလ်အဆင့်တွင် အကောင်အထည်ဖော်နိုင်စေခြင်းဖြင့် ဖောင့်ပရိုဆက်ဆာတွင် ကြားခံလွှမ်းမိုးမှုဖြစ်စေနိုင်သည်။ ပြဿနာသည် 2013 ခုနှစ်ကတည်းက ရှိနေခဲ့ပြီး နို၀င်ဘာ 1 ရက်နေ့တွင် ထုတ်ဝေသော Firmware အပ်ဒိတ်များတွင် ဖြေရှင်းခဲ့သည် (ထုတ်လုပ်သူသည် ဧပြီလတွင် ပြဿနာကို အကြောင်းကြားခဲ့သည်)။
တိုက်ခိုက်မှုကို စက်တွင်းချိတ်ဆက်ထားသော ပရင်တာများနှင့် ကွန်ရက်ပုံနှိပ်စနစ်များတွင် နှစ်မျိုးလုံး လုပ်ဆောင်နိုင်သည်။ ဥပမာအားဖြင့်၊ တိုက်ခိုက်သူသည် အသုံးပြုသူတစ်ဦးအား အန္တရာယ်ရှိသောဖိုင်ကို ပရင့်ထုတ်ရန် အတင်းအကြပ်ခိုင်းစေရန်၊ အသုံးပြုသူစနစ်ဖြင့် ပရင်တာကို တိုက်ခိုက်ရန် သို့မဟုတ် “DNS rebinding” နှင့် ဆင်တူသည့် နည်းလမ်းကို အသုံးပြု၍ အသုံးပြုသူတစ်ဦးက ဖွင့်သည့်အခါ ခွင့်ပြုပေးသော၊ ဘရောက်ဆာရှိ စာမျက်နှာ၊ ပရင်တာ၏ကွန်ရက်အပေါက် (9100/ TCP၊ JetDirect) သို့ HTTP တောင်းဆိုချက်ကို ပေးပို့ရန်၊ အင်တာနက်မှတစ်ဆင့် တိုက်ရိုက်ဝင်ရောက်ခွင့်အတွက် မရရှိနိုင်ပါ။
အားနည်းချက်ကို အောင်မြင်စွာ အသုံးချပြီးနောက်၊ အပေးအယူခံရသော ပရင်တာအား ဒေသတွင်း ကွန်ရက်ပေါ်တွင် တိုက်ခိုက်ရန်၊ အသွားအလာများကို ရှုရှိုက်ရန် သို့မဟုတ် ဒေသတွင်း ကွန်ရက်ပေါ်ရှိ တိုက်ခိုက်သူများအတွက် လျှို့ဝှက်ထားရမည့်နေရာကို ချန်ထားရန် စရင်းဘုတ်တစ်ခုအဖြစ် အသုံးပြုနိုင်သည်။ အားနည်းချက်သည် botnet များတည်ဆောက်ခြင်း သို့မဟုတ် အခြားအားနည်းချက်ရှိသောစနစ်များကိုစကင်န်ဖတ်ပြီး ၎င်းတို့ကိုကူးစက်ရန်ကြိုးစားသည့် network worm များကိုဖန်တီးရန်အတွက်လည်းသင့်လျော်သည်။ ပရင်တာအပေးအယူလုပ်ခြင်းမှ ထိခိုက်မှုကို လျှော့ချရန်အတွက် သီးခြား VLAN တစ်ခုတွင် ကွန်ရက်ပရင်တာများကို ထားရှိရန်၊ ပရင်တာများမှ ထွက်နေသော ကွန်ရက်ချိတ်ဆက်မှုများကို firewall ကို ကန့်သတ်ရန်နှင့် အလုပ်ရုံများမှ ပရင်တာကို တိုက်ရိုက်ဝင်ရောက်မည့်အစား သီးခြားအလယ်အလတ်ပရင့်ဆာဗာကို အသုံးပြုရန် အကြံပြုထားသည်။
သုတေသီများသည် HP ပရင်တာများတွင် အခြားသော အားနည်းချက် (CVE-2021-39237) ကို ဖော်ထုတ်ခဲ့ပြီး၊ ၎င်းသည် စက်ပစ္စည်းသို့ အပြည့်အဝဝင်ရောက်ခွင့်ရရှိစေပါသည်။ ပထမအားနည်းချက်နှင့်မတူဘဲ၊ တိုက်ခိုက်မှုသည် ပရင်တာသို့ ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခွင့် လိုအပ်သည် (သင် UART ဆိပ်ကမ်းသို့ 5 မိနစ်ခန့် ချိတ်ဆက်ရန် လိုအပ်သည်) ဖြစ်သောကြောင့် ပြဿနာကို အလယ်အလတ်အဆင့်တွင် အန္တရာယ်ပေးထားသည်။
source: opennet.ru