HP не смогла исправить уязвимости в прошивках компьютеров и ноутбуков в течение года

Шесть серьёзных уязвимостей встроенного ПО, затрагивающих широкий спектр устройств производства Hewlett Packard для корпоративных сред, всё ещё не исправлены. О некоторых из них стало известно в июле 2021 года.

96d0e2bae6c2ebf5e614af40536cd4b6.jpg

Подобные уязвимости могут привести к заражению вредоносным ПО, которое сохраняется даже между переустановками ОС, либо допускать долгосрочные компрометации, которые не активируют стандартные инструменты безопасности.

В отчёте Binarly говорится, что прошёл месяц с публикации уязвимостей на конференции Black Hat 2022, однако HP так и не выпустила обновления безопасности для затронутых моделей, и многие клиенты подверглись атакам.

Исследователи сообщили HP о трёх ошибках в июле 2021 года и о трёх других в апреле 2022 года.

Уязвимости, обнаруженные Binarly, связаны с повреждением памяти SMM (модуля управления системой), что приводит к выполнению произвольного кода. SMM является частью микропрограммы UEFI, которая обеспечивает общесистемные функции, такие как низкоуровневое управление оборудованием и питанием.

Привилегии подсистемы SMM превышают привилегии ядра операционной системы, поэтому недостатки, влияющие на SMM, могут деактивировать функции безопасности, такие как безопасная загрузка, а также создать невидимые бэкдоры и позволить злоумышленникам внедрить элементы вредоносного ПО.

HP не исправила следующие уязвимости:

  • CVE-2022–23930 — переполнение буфера стека, приводящее к выполнению произвольного кода (оценка 8,2, «высокая»);

  • CVE-2022–31644 — запись за пределами буфера CommBuffer, позволяющая частично обходить проверку (оценка 7,5, «высокая»);

  • CVE-2022–31645 — запись за пределами буфера CommBuffer из-за отсутствия проверки размера указателя, отправляемого обработчику SMI (оценка 8,2, «высокая»);

  • CVE-2022–31646 — запись за пределами границ на основе функций API прямого манипулирования памятью, приводящая к повышению привилегий и выполнению произвольного кода (оценка 8,2, «высокая»);

  • CVE-2022–31640 — неправильная проверка ввода, которая даёт злоумышленникам контроль над данными CommBuffer и открывает путь к неограниченным модификациям (оценка 7,5, «высокая»);

  • CVE-2022–31641 — уязвимость Callout в обработчике SMI, приводящая к выполнению произвольного кода (оценка 7,5, «высокая»).

HP выпустила три рекомендации по безопасности, в которых признаются упомянутые уязвимости, а также обновления BIOS, устраняющие проблемы для некоторых уязвимых моделей.

CVE-2022–23930 была исправлена ​​на всех затронутых системах в марте 2022 года, за исключением ПК с тонкими клиентами.

Для CVE-2022–31644, CVE-2022–31645 и CVE-2022–31646 выпустили обновления безопасности 9 августа 2022 года.

Однако многие бизнес-ноутбуки (Elite, Zbook, ProBook), настольные ПК для бизнеса (ProDesk, EliteDesk, ProOne), системы торговых точек, а также рабочие станции HP (Z1, Z2, Z4, Zcentral) ещё не получили исправления.

Для CVE-2022–31640 и CVE-2022–31641 выпустили исправление 7 сентября, но многие рабочие станции HP остаются уязвимыми.

Как отмечает Binarly, исправление недостатков встроенного ПО достаточно трудоёмкое для поставщика из-за сложности цепочки поставок, поэтому многим клиентам HP придётся усилить меры безопасности.

В декабре 2021 года исследователи из F-Secure обнаружили ряд уязвимостей, затрагивающих как минимум 150 моделей многофункциональных принтеров HP. Они заявили, что уязвимости возникли в 2013 году. HP выпустила патчи для двух наиболее критических ошибок.

В марте обнаружилось четыре новых уязвимости в моделях сетевых принтеров и МФУ HP, которые позволяют удалённо выполнить код, а также приостановить или заблокировать работу устройств. Производитель выпустил обновление прошивок для части устройств. Проблема затронула принтеры LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet.

В апреле HP обнаружила в проприетарном протоколе удалённого рабочего стола Teradici PCoIP 10 новых уязвимостей. Три из них получили высокий балл по шкале оценки безопасности компьютерной системы.

© Habrahabr.ru