Έξι ευπάθειες firmware που επηρεάζουν ένα ευρύ φάσμα συσκευών HP που χρησιμοποιούνται σε εταιρικά περιβάλλοντα, παραμένουν χωρίς κάποιο patch, παρόλο που κάποιες από αυτές αποκαλύφθηκαν δημόσια ένα χρόνο πριν, τον Ιούλιο του 2021.
Οι firmware ευπάθειες που επηρεάζουν τις συσκευές HP είναι ιδιαίτερα επικίνδυνες επειδή μπορούν να οδηγήσουν σε μολύνσεις με malware.
Σύμφωνα με έκθεση της Binarly, παρόλο που έχει περάσει ένας μήνας από τότε που δημοσιοποιήθηκαν ορισμένες από τις ευπάθειες HP στο Black Hat 2022, η εταιρεία δεν έχει κυκλοφορήσει ενημερώσεις ασφαλείας για όλα τα επηρεαζόμενα μοντέλα, με αποτέλεσμα πολλοί πελάτες να βρίσκονται σε κίνδυνο.
Δείτε επίσης: HP: Διορθώνει bug στο προεγκατεστημένο Support Assistant tool
Όπως είπαμε, όμως, υπάρχουν και ευπάθειες (3) οι οποίες αναφέρθηκαν στην HP τον Ιούλιο του 2021 δηλαδή περισσότερο από ένα χρόνο πριν. Οι υπόλοιπες τρεις αναφέρθηκαν τον Απρίλιο του 2022. Και στις δύο περιπτώσεις (και ειδικά στην πρώτη) η HP είχε στη διάθεσή της πολύ χρόνο για να προωθήσει ενημερώσεις για όλες τις επηρεαζόμενες συσκευές.
HP firmware bugs
Οι ευπάθειες που ανακάλυψε πρόσφατα η ερευνητική ομάδα ασφαλείας της Binarly είναι SMM (System Management Module) memory corruption προβλήματα που επιτρέπουν την εκτέλεση κώδικα.
Το SMM είναι μέρος του UEFI firmware που παρέχει λειτουργίες σε όλο το σύστημα, όπως έλεγχο low-level hardware και power management.
Τα προνόμια του υποσυστήματος SMM (ring -2) υπερβαίνουν εκείνα του operating system kernel (ring 0), επομένως οι ευπάθειες που επηρεάζουν το SMM μπορούν να ακυρώσουν χαρακτηριστικά ασφαλείας όπως το Secure Boot, να δημιουργήσουν αόρατα (για το θύμα) backdoors και να επιτρέψουν σε επιτιθέμενους να εγκαταστήσουν malware.
Δείτε επίσης: Στο dark web πωλούνται έγγραφα του NATO – κλάπηκαν από την Πορτογαλία
Ποιες είναι οι έξι ευπάθειες firmware που δεν έχει διορθώσει η HP, σύμφωνα με τους ερευνητές της Binarly:
CVE-2022-23930: Stack-based buffer overflow που οδηγεί σε εκτέλεση κώδικα. (Βαθμολογία CVSS v3: 8,2)
CVE-2022-31644: Out-of-bounds write στο CommBuffer, που επιτρέπει τη μερική παράκαμψη επικύρωσης. (Βαθμολογία CVSS v3: 7,5)
CVE-2022-31645: Out-of-bounds write στο CommBuffer (Βαθμολογία CVSS v3: 8,2)
CVE-2022-31646: Άλλη μια ευπάθεια Out-of-bounds write που οδηγεί σε αύξηση των προνομίων και εκτέλεση κώδικα. (Βαθμολογία CVSS v3: 8,2)
CVE-2022-31640: Λανθασμένο input validation που δίνει στους εισβολείς τον έλεγχο των δεδομένων CommBuffer και επιτρέπει απεριόριστες τροποποιήσεις. (Βαθμολογία CVSS v3: 7,5)
CVE-2022-31641: Ευπάθεια Callout στο SMI handler που οδηγεί σε εκτέλεση κώδικα. (Βαθμολογία CVSS v3: 7,5)
Η HP κυκλοφόρησε τρία security advisories για τις παραπάνω ευπάθειες, μαζί με κάποια BIOS updates που αντιμετωπίζουν τα ζητήματα για ορισμένα από τα επηρεαζόμενα μοντέλα.
Το CVE-2022-23930 διορθώθηκε σε όλα τα επηρεαζόμενα συστήματα τον Μάρτιο του 2022, εκτός από thin client PCs (ελέγξτε το advisory για λεπτομέρειες).
Τα CVE-2022-31644, CVE-2022-31645 και CVE-2022-31646 έλαβαν ενημερώσεις ασφαλείας στις 9 Αυγούστου 2022.
Δείτε επίσης: Mobile malware: Όσα πρέπει να ξέρεις για το κακόβουλο λογισμικό
Ωστόσο, πολλά business notebook PCs (Elite, Zbook, ProBook), business desktop PCs (ProDesk, EliteDesk, ProOne), συστήματα point of sale, καθώς και HP workstations (Z1, Z2, Z4, Zcentral) δεν έχουν λάβει ακόμη ενημερώσεις κώδικα (ελέγξτε advisory για λεπτομέρειες).
Τα CVE-2022-31640 και CVE-2022-31641 έλαβαν επιδιορθώσεις τον Αύγουστο του τρέχοντος έτους, με την τελευταία ενημέρωση να ολοκληρώνεται στις 7 Σεπτεμβρίου 2022, αλλά πολλά HP workstations εξακολουθούν να μην έχουν λάβει κάποιο patch, με αποτέλεσμα πολλοί πελάτες να είναι εκτεθειμένοι σε επιθέσεις (advisory).
Αξίζει να σημειωθεί ότι η διόρθωση firmware bugs είναι πολύ δύσκολη για έναν μόνο προμηθευτή λόγω της πολυπλοκότητας του firmware supply chain. Αυτό σημαίνει ότι οι πελάτες της HP που επηρεάζονται, θα πρέπει να ενισχύσουν τα φυσικά μέτρα ασφαλείας τους για να αποφύγουν τον κίνδυνο (όσο είναι δυνατόν).
Μπορείτε να βρείτε περισσότερες λεπτομέρειες στην έκθεση της Binarly.
Πηγή: www.bleepingcomputer.com