F-Secure හි ආරක්ෂක පර්යේෂකයන් විසින් 2021 HP LaserJet, LaserJet Managed, PageWide සහ PageWide කළමනාකරණය කරන ලද මුද්රණ යන්ත්ර සහ MFP වලට බලපාන තීරණාත්මක අවදානමක් (CVE-39238-150) හඳුනාගෙන ඇත. මුද්රණය සඳහා විෙශේෂෙයන් නිර්මාණය කරන ලද PDF ලේඛනයක් යැවීමෙන් අකුරු සකසනය තුළ බෆර පිටාර ගැලීමක් ඇති කිරීමට සහ ස්ථිරාංග මට්ටමින් ඔබේ කේතය ක්රියාත්මක කිරීමට අවදානම ඔබට ඉඩ සලසයි. ගැටළුව 2013 සිට පවතින අතර නොවැම්බර් 1 වන දින ප්රකාශයට පත් කරන ලද ස්ථිරාංග යාවත්කාලීන කිරීම් වල එය විසඳා ඇත (නිෂ්පාදකයාට ගැටලුව පිළිබඳව අප්රේල් මාසයේදී දැනුම් දෙන ලදී).
ප්රහාරය දේශීයව සම්බන්ධිත මුද්රණ යන්ත්ර සහ ජාල මුද්රණ පද්ධති යන දෙකටම සිදු කළ හැකිය. උදාහරණයක් ලෙස, ප්රහාරකයෙකුට අනිෂ්ට ගොනුවක් මුද්රණය කිරීමට පරිශීලකයෙකුට බල කිරීමට සමාජ ඉංජිනේරු ශිල්පීය ක්රම භාවිතා කළ හැකිය, දැනටමත් සම්මුතියට පත් වූ පරිශීලක පද්ධතියක් හරහා මුද්රණ යන්ත්රයකට ප්රහාරයක් එල්ල කළ හැකිය, නැතහොත් පරිශීලකයෙකු නිශ්චිත දෙයක් විවෘත කළ විට ඉඩ දෙන “DNS නැවත බැඳීම” හා සමාන තාක්ෂණයක් භාවිතා කළ හැකිය. බ්රවුසරයේ පිටුව, මුද්රණ යන්ත්රයේ ජාල තොට (9100/ TCP, JetDirect) වෙත HTTP ඉල්ලීමක් යැවීමට, අන්තර්ජාලය හරහා සෘජු ප්රවේශය සඳහා ලබා ගත නොහැක.
අවදානම සාර්ථක ලෙස සූරාකෑමෙන් පසු, සම්මුතියට පත් මුද්රණ යන්ත්රයක් ප්රාදේශීය ජාලයකට ප්රහාරයක් දියත් කිරීමට, ගමනාගමනය උදුරා ගැනීමට හෝ දේශීය ජාලයේ ප්රහාරකයන් සඳහා සැඟවුණු ස්ථානයක් තැබීමට උල්පතක් ලෙස භාවිතා කළ හැකිය. අනාරක්ෂිත බව බොට්නෙට් තැනීමට හෝ වෙනත් අවදානම් පද්ධති පරිලෝකනය කර ඒවා ආසාදනය කිරීමට උත්සාහ කරන ජාල පණුවන් සෑදීමට ද සුදුසු ය. මුද්රණ යන්ත්ර සම්මුතියෙන් සිදුවන හානිය අවම කිරීම සඳහා, ජාල මුද්රණ යන්ත්ර වෙනම VLAN එකක තැබීම, ෆයර්වෝලය මුද්රණ යන්ත්රවලින් පිටතට යන ජාල සම්බන්ධතා ස්ථාපනය කිරීම සීමා කිරීම සහ වැඩපොළවලින් මුද්රණ යන්ත්රයට සෘජුවම ප්රවේශ වීම වෙනුවට වෙනම අතරමැදි මුද්රණ සේවාදායකයක් භාවිතා කිරීම නිර්දේශ කෙරේ.
පර්යේෂකයන් HP මුද්රණ යන්ත්රවල තවත් අවදානමක් (CVE-2021-39237) හඳුනාගෙන ඇති අතර එමඟින් උපාංගයට පූර්ණ ප්රවේශය ලබා ගත හැකිය. පළමු අවදානම මෙන් නොව, ප්රහාරයට මුද්රණ යන්ත්රයට භෞතික ප්රවේශය අවශ්ය වන බැවින් (ඔබට විනාඩි 5 ක් පමණ UART වරායට සම්බන්ධ වීමට අවශ්ය වේ) ප්රශ්නය මධ්යස්ථ අන්තරාදායක මට්ටමක් පවරා ඇත.
මූලාශ්රය: opennet.ru