HP не смогла исправить уязвимости в прошивках компьютеров и ноутбуков в течение года
Шесть серьёзных уязвимостей встроенного ПО, затрагивающих широкий спектр устройств производства Hewlett Packard для корпоративных сред, всё ещё не исправлены. О некоторых из них стало известно в июле 2021 года.
Подобные уязвимости могут привести к заражению вредоносным ПО, которое сохраняется даже между переустановками ОС, либо допускать долгосрочные компрометации, которые не активируют стандартные инструменты безопасности.
В отчёте Binarly говорится, что прошёл месяц с публикации уязвимостей на конференции Black Hat 2022, однако HP так и не выпустила обновления безопасности для затронутых моделей, и многие клиенты подверглись атакам.
Исследователи сообщили HP о трёх ошибках в июле 2021 года и о трёх других в апреле 2022 года.
Уязвимости, обнаруженные Binarly, связаны с повреждением памяти SMM (модуля управления системой), что приводит к выполнению произвольного кода. SMM является частью микропрограммы UEFI, которая обеспечивает общесистемные функции, такие как низкоуровневое управление оборудованием и питанием.
Привилегии подсистемы SMM превышают привилегии ядра операционной системы, поэтому недостатки, влияющие на SMM, могут деактивировать функции безопасности, такие как безопасная загрузка, а также создать невидимые бэкдоры и позволить злоумышленникам внедрить элементы вредоносного ПО.
HP не исправила следующие уязвимости:
CVE-2022–23930 — переполнение буфера стека, приводящее к выполнению произвольного кода (оценка 8,2, «высокая»);
CVE-2022–31644 — запись за пределами буфера CommBuffer, позволяющая частично обходить проверку (оценка 7,5, «высокая»);
CVE-2022–31645 — запись за пределами буфера CommBuffer из-за отсутствия проверки размера указателя, отправляемого обработчику SMI (оценка 8,2, «высокая»);
CVE-2022–31646 — запись за пределами границ на основе функций API прямого манипулирования памятью, приводящая к повышению привилегий и выполнению произвольного кода (оценка 8,2, «высокая»);
CVE-2022–31640 — неправильная проверка ввода, которая даёт злоумышленникам контроль над данными CommBuffer и открывает путь к неограниченным модификациям (оценка 7,5, «высокая»);
CVE-2022–31641 — уязвимость Callout в обработчике SMI, приводящая к выполнению произвольного кода (оценка 7,5, «высокая»).
HP выпустила три рекомендации по безопасности, в которых признаются упомянутые уязвимости, а также обновления BIOS, устраняющие проблемы для некоторых уязвимых моделей.
CVE-2022–23930 была исправлена на всех затронутых системах в марте 2022 года, за исключением ПК с тонкими клиентами.
Для CVE-2022–31644, CVE-2022–31645 и CVE-2022–31646 выпустили обновления безопасности 9 августа 2022 года.
Однако многие бизнес-ноутбуки (Elite, Zbook, ProBook), настольные ПК для бизнеса (ProDesk, EliteDesk, ProOne), системы торговых точек, а также рабочие станции HP (Z1, Z2, Z4, Zcentral) ещё не получили исправления.
Для CVE-2022–31640 и CVE-2022–31641 выпустили исправление 7 сентября, но многие рабочие станции HP остаются уязвимыми.
Как отмечает Binarly, исправление недостатков встроенного ПО достаточно трудоёмкое для поставщика из-за сложности цепочки поставок, поэтому многим клиентам HP придётся усилить меры безопасности.
В декабре 2021 года исследователи из F-Secure обнаружили ряд уязвимостей, затрагивающих как минимум 150 моделей многофункциональных принтеров HP. Они заявили, что уязвимости возникли в 2013 году. HP выпустила патчи для двух наиболее критических ошибок.
В марте обнаружилось четыре новых уязвимости в моделях сетевых принтеров и МФУ HP, которые позволяют удалённо выполнить код, а также приостановить или заблокировать работу устройств. Производитель выпустил обновление прошивок для части устройств. Проблема затронула принтеры LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet.
В апреле HP обнаружила в проприетарном протоколе удалённого рабочего стола Teradici PCoIP 10 новых уязвимостей. Три из них получили высокий балл по шкале оценки безопасности компьютерной системы.