惠普打印机劫持错误影响150种产品型号。

安全研究人员在多功能打印机（MFP）中发现了两个漏洞，影响了150种产品型号。

F-Secure安全顾问Timo Hirvonen和Alexander Bolshev在一份详细的报告中写下了他们的发现，Printing Shellz。

具体来说，他们在惠普的MFP M725z设备中发现了一个物理访问端口漏洞（CVE-2021-39237）和一个字体解析错误（CVE-2021-39238）。事实证明，它们影响了FutureSmart系列中的更多产品，这些产品可以追溯到2013年。

CVE-2021-3928是两者中更危险的，因为它可以被远程利用，可能是通过诱骗员工访问恶意网站来进行"跨站点打印"攻击。F-Secure说，在这里，该网站会自动在易受攻击的多功能数码复合机上打印包含恶意制作的字体的文档。

这将允许攻击者在计算机上执行任意代码，以窃取任何打印，扫描或传真的信息，包括设备密码。

该报告声称，它还可能使攻击者能够向企业网络发起更深层次的攻击，以传播勒索软件，从更敏感的数据存储中窃取数据并实现其他目标。

这些错误也是可攻击的，这意味着同一网络上的多个多功能数码复合机可能会自动受到影响。

"人们很容易忘记，现代多功能数码复合机是功能齐全的计算机，威胁行为者可以像其他工作站和端点一样受到损害。就像其他端点一样，攻击者可以利用受感染的设备来破坏组织的基础设施和运营，"F-Secure的Hirvonen解释说。

"经验丰富的威胁行为者将不安全的设备视为机会，因此，像其他端点一样不优先考虑保护其多功能数码复合机的组织会让自己面临像我们研究中记录的攻击。

HP 已针对这些漏洞发布了修补程序，这些漏洞被描述为"中"（CVE-2021-39237）和严重严重性（CVE-2021-39238）。

虽然它们只被认为可以被高级目标攻击者利用，但敦促企业尽快修补它们。