最近网络安全研究人员披露了影响惠普公司种不同多功能打印机长达8年的安全漏洞，攻击者可以通过利用这些漏洞来控制这些受影响的打印机设备，以此窃取敏感信息并渗透到企业内部网络以发起其他网络攻击。

安全研究人员于年4月29日向惠普报告了这2个安全漏洞，它们被统称为PrintShellz漏洞：

CVE--（CVSS评分：7.1）–影响某些HPLaserJet、HPLaserJetManaged、HPPageWide和HPPageWideManaged打印机的信息泄露漏洞。

CVE--（CVSS评分：9.3）-影响某些HPEnterpriseLaserJet、HPLaserJetManaged、HPEnterprisePageWide和HPPageWideManaged产品的缓冲区溢出漏洞。

根据网络安全行业门户极牛网JIKENB.COM的梳理，这些漏洞的发生在通讯板和字体解析器，攻击者可以利用它们来获得代码执行权，通讯板需要物理访问，而字体解析器可以远程完成。当攻击成功后，攻击者可以实现多种目标，包括窃取打印信息、将打印机作为攻击入口等。

该漏洞CVE--的严重性评级之所以这么高也是由于该漏洞是可蠕虫化的，这意味着它可以被利用来自我传播到受感染网络上的其他打印机上。

假设的攻击场景可能涉及在恶意PDF文档中嵌入字体解析缺陷的漏洞利用，然后对目标进行社会工程以打印文件。或者，受害企业的员工可能会被引诱访问流氓网站，在此过程中直接从Web浏览器将漏洞利用发送到易受攻击的打印机，这就是所谓的跨站点打印攻击。

安全研究人员表示，除了在默认情况下强制网络分段和禁用从USB驱动器打印外，强烈建议使用受影响设备的企业在补丁发布后尽快进行升级，以降低受到网络攻击的可能。