Уязвимости в устройствах HP для бизнеса не исправлены спустя год после обнаружения

6 опасных уязвимостей встроенного ПО во множестве компьютеров HP, используемых в корпоративных средах, до сих пор не исправлены, хотя некоторые из них были публично раскрыты с июля 2021 года.

Согласно отчету Binarly , исследователи обнародовали некоторые недостатки на Black Hat 2022 в августе, но поставщик не выпустил обновления безопасности для всех затронутых моделей, что сделало многих клиентов уязвимыми для атак.

Недостатки, обнаруженные Binarly, связаны с повреждением памяти SMM (System Management Module), приводящим к выполнению произвольного кода. SMM является частью микропрограммы UEFI, которая обеспечивает общесистемные функции, такие как низкоуровневое управление оборудованием и питанием.

Привилегии подсистемы SMM превышают привилегии ядра ОС, поэтому недостатки SMM могут сделать недействительными функции безопасности и дать возможность злоумышленнику создать скрытый бэкдор и установить вредоносное ПО.

Вот 6 уязвимостей, которые, по словам Binarly, HP не исправляла в течение нескольких месяцев:

• CVE-2022-23930 — Переполнение буфера стека, приводящее к выполнению произвольного кода ( CVSS v3: 8,2);
• CVE-2022-31644 — Запись за пределами буфера CommBuffer, позволяющая частично обходить проверку (CVSS v3: 7,5);
• CVE-2022-31645 — Запись за пределами буфера CommBuffer из-за отсутствия проверки размера указателя, отправляемого обработчику SMI (CVSS v3: 8,2);
• CVE-2022-31646 — Запись за пределами границ на основе функций API прямого манипулирования памятью, приводящая к повышению привилегий и выполнению произвольного кода (CVSS v3: 8,2);
• CVE-2022-31640 — неправильная проверка ввода дает хакеру контроль над данными CommBuffer и открывает путь к неограниченным модификациям (CVSS v3: 7,5);
• CVE-2022-31641 — Уязвимость Callout в обработчике SMI, приводящая к выполнению произвольного кода (CVSS v3: 7,5).

HP выпустила 3 рекомендации по безопасности, в которых описала эти уязвимости, а также 3 обновлений BIOS [ 1 , 2 , 3 ], устраняющих проблемы для некоторых уязвимых моделей.

Однако, серии ноутбуков (Elite, Zbook, ProBook) и настольных ПК (ProDesk, EliteDesk, ProOne), системы торговых точек, а также рабочие станции HP (Z1, Z2, Z4, Zcentral) еще не получили исправления.

Как отмечает Binarly, исправление недостатков встроенного ПО очень сложно для HP из-за сложности цепочки поставок встроенного ПО, поэтому многим клиентам HP придется самостоятельно усилить меры безопасности.