Deux vulnérabilités - connues sous le nom de Printing Shellz - ont été découvertes et signalées à HP par les chercheurs Timo Hirvonen et Alexander Bolshev de F-Secure Labs le 29 avril 2021. Ces failles pourraient être exploitées par un adversaire pour prendre le contrôle des appareils vulnérables, voler des informations sensibles et infiltrer les réseaux d'entreprise pour mener d'autres attaques, ce qui a incité le fabricant à publier des correctifs au début du mois de novembre.

Voici les vulnérabilités en question :

CVE-2021-39237 (score CVSS : 7.1) : Une vulnérabilité de divulgation d'informations ayant un impact sur certaines imprimantes HP LaserJet, HP LaserJet Managed, HP PageWide et HP PageWide Managed.

CVE-2021-39238 (score CVSS : 9.3) : Une vulnérabilité de débordement de tampon ayant un impact sur certains produits HP Enterprise LaserJet, HP LaserJet Managed, HP Enterprise PageWide et HP PageWide Managed.

Un scénario d'attaque possible consisterait à intégrer un programme d'exploitation des failles d'analyse des polices dans un document PDF malveillant, puis à faire appel à l'ingénierie sociale pour inciter la cible à imprimer le fichier. Il est également possible d'inciter un employé de l'organisation victime à visiter un site web malveillant et à envoyer le programme d'exploitation à l'appareil multifonctionnel vulnérable directement depuis le navigateur web, dans le cadre d'une attaque d'impression intersite.

Outre l'application de la segmentation du réseau et la désactivation par défaut de l'impression à partir de clé USB, il est fortement recommandé aux entreprises utilisant les appareils concernés d'installer les correctifs disponibles.