Détection d’une faille de sécurité critique dans plusieurs modèles d’imprimantes HP

Des chercheurs en cybersécurité ont révélé mardi plusieurs failles de sécurité affectant 150 imprimantes multifonctions différentes de HP Inc. Ces failles pourraient être exploitées par un adversaire pour prendre le contrôle des appareils vulnérables, dérober des informations sensibles et infiltrer les réseaux d’entreprise afin de mener d’autres attaques.

« Un attaquant peut les exploiter pour obtenir des droits d’exécution de code, le premier nécessitant un accès physique tandis que le second peut être accompli à distance. Une attaque réussie permettra à un adversaire d’atteindre divers objectifs, notamment le vol d’informations ou l’utilisation de la machine compromise comme tête de pont pour de futures attaques contre une organisation. »

Un scénario d’attaque hypothétique pourrait consister à intégrer un programme d’exploitation des failles d’analyse des polices dans un document PDF malveillant, puis à inciter la cible à imprimer le fichier.

Un employé de l’organisation victime pourrait être incité à visiter un site web malveillant, ce qui lui permettrait d’envoyer l’exploit à la MFP vulnérable directement depuis le navigateur web, dans le cadre de ce que l’on appelle une attaque d’impression intersite.

« Le site Web imprimerait automatiquement à distance un document contenant une police de caractères malveillante sur l’imprimante multifonction vulnérable, ce qui donnerait à l’attaquant des droits d’exécution de code sur l’appareil », ont déclaré les chercheurs.

« Bien que l’exploitation de ces problèmes soit quelque peu difficile, la divulgation publique de ces vulnérabilités permettra aux acteurs de la menace de savoir ce qu’il faut rechercher pour attaquer les organisations vulnérables », ont déclaré Hirvonen et Bolshev.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

COMMENCEZ DÈS AUJOURD'HUI

Faites-nous part de vos besoins
Obtenir une réponse le même jour

Vous avez une demande urgente ? Appelez-nous au 1-877-805-7475 ou Prenez rendez-vous.

Une fois le formulaire envoyé :

Un expert vous contactera pour se renseigner sur votre projet de cybersécurité

La portée du projet sera défini (environnement cible, délais, exigences, etc.)

Une soumission détaillée comprenant un prix tout inclus vous est envoyée

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
ÉDITION 2024

Guide de l'Acheteur de Tests d'Intrusion

Prenez des Décisions Éclairées

Tout ce que vous devez savoir pour planifier, déterminer la portée et réaliser des projets de test d’intrusion avec succès.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
TÉLÉCHARGEMENT GRATUIT

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.