ИБ-специалисты сообщают, что в прошивках многих устройств HP, используемых в корпоративных средах, до сих пор не исправлены шесть уязвимостей, некоторые из них были публично раскрыты еще летом 2021 года.
Внимание к этой проблеме привлекли специалисты компании Binarly. Их отчет гласит, что прошел уже месяц с тех пор, как они рассказали о багах в прошивках HP на конференции Black Hat 2022, однако вендор до сих пор не выпустил патчи для всех затронутых устройств, и многие клиенты по-прежнему уязвимы для атак.
Еще в июле 2021 года исследователи сообщили HP о трех уязвимостях, а данные о трех других багах были раскрыты в апреле 2022 года. То есть на разработку и выпуск исправлений у производителя было от четырех месяцев до года.
Эксперты предупреждают, что баги в прошивках весьма опасны, поскольку могут привести к заражению машины малварью, которая закрепится в системе и сохранит свое присутствие даже после переустановки ОС. Или эксплуатация багов приведет к долгосрочной компрометации, которую не обнаружат стандартные защитные инструменты.
Проблемы, обнаруженные Binarly, связаны с повреждением информации в памяти SMM (System Management Module), что ведет к выполнению произвольного кода. SMM — это часть UEFI, которая отвечает за работу общесистемных функций, включая низкоуровневое управление оборудованием и питанием. Основная опасность заключается в том, что привилегии SMM (ring -2) превышают привилегии ядра ОС (ring 0). За счет этого любые уязвимости, влияющие на SMM, позволяют обойти такие защитные механизмы, как Secure Boot, создавать невидимые бэкдоры, а злоумышленники получают возможность надежно закрепиться в системе.
Аналитики Binarly сообщают о шести уязвимостях:
- CVE-2022-23930— переполнение буфера стека, приводящее к выполнению произвольного кода (8,2 балла по шкале CVSS);
- CVE-2022-31644— запись за пределами буфера CommBuffer, позволяющая частично обойти валидацию (7,5 балла по шкале CVSS);
- CVE-2022-31645— запись за пределами буфера CommBuffer (8,2 балла по шкале CVSS)
- CVE-2022-31646— out-of-bounds запись, приводящая к повышению привилегий и выполнению произвольного кода (8,2 балла по шкале CVSS);
- CVE-2022-31640— некорректная проверка ввода, позволяющая установить контроль над данными CommBuffer и открывает путь к неограниченным модификациям (7,5 балла по шкале CVSS);
- CVE-2022-31641— уязвимость Callout в обработчике SMI, приводящая к выполнению произвольного кода (7,5 балла по шкале CVSS).
В настоящее время инженеры HP выпустили три бюллетеня безопасности, в которых упомянуты перечисленные уязвимости, а также вышло три обновления BIOS, устраняющие баги для некоторых уязвимых устройств.
Так, проблема CVE-2022-23930 была исправлена на всех затронутых девайсах в марте 2022 года, за исключением машин с тонкими клиентами.
Баги CVE-2022-31644, CVE-2022-31645 и CVE-2022-31646 получили исправления 9 августа 2022 года. Однако патчей по-прежнему нет для многих бизнес-ноутбуков (включая серии Elite, Zbook, ProBook), десктопов (серии ProDesk, EliteDesk, ProOne), PoS-систем, а также рабочих станций (Z1, Z2, Z4, Zcentral).
Примерно так же обстоят дела с уязвимостями CVE-2022-31640 и CVE-2022-31641: патчи выходили в течение августа, а самое свежее обновление датировано 7 сентября 2022 года. Но многие рабочие станции HP все еще не получили никаких исправлений.
Эксперты Binarly отмечают, что исправление багов в прошивках – сложный процесс, сильно зависящий от цепочки поставок, поэтому многим клиентам HP придется оценить риски и временно усилить меры физической безопасности.
