Nhiều lỗi bảo mật firmware nghiêm trọng trong các thiết bị HP Enterprise

Một số lỗi bảo mật firmware được phát hiện trong các máy tính xách tay cao cấp dành cho doanh nghiệp của HP tiếp tục chưa được vá trong một số thiết bị, thậm chí vài tháng sau khi công bố rộng rãi.

Binarly, người lần đầu tiên tiết lộ chi tiết về các vấn đề tại hội nghị Black Hat USA vào giữa tháng 8 năm 2022, cho biết các lỗ hổng "không thể được phát hiện bởi các hệ thống giám sát tính toàn vẹn của firmware do các hạn chế của phép đo Mô-đun Nền tảng Tin cậy (TPM)."

Các lỗ hổng chương trình cơ sở có thể gây ra những tác động nghiêm trọng vì chúng có thể bị kẻ tấn công lạm dụng để đạt được sự tồn tại lâu dài trên thiết bị theo cách có thể tồn tại khi khởi động lại và tránh các biện pháp bảo mật cấp hệ điều hành truyền thống.

Các lỗi bảo mật có tính nghiêm trọng cao được Binarly xác định ảnh hưởng đến các thiết bị HP EliteBook và liên quan đến trường hợp hỏng bộ nhớ trong Chế độ quản lý hệ thống (SMM) của firmware, do đó cho phép thực thi mã tùy ý với các đặc quyền cao nhất –

CVE-2022-23930 (Điểm CVSS: 8.2) - Tràn bộ đệm dựa trên ngăn xếp

CVE-2022-31640 (Điểm CVSS: 7,5) - Xác thực đầu vào không đúng

CVE-2022-31641 (Điểm CVSS: 7,5) - Xác thực đầu vào không đúng

CVE-2022-31644 (Điểm CVSS: 7,5) - Ghi ngoài giới hạn

CVE-2022-31645 (Điểm CVSS: 8,2) - Ghi ngoài giới hạn

CVE-2022-31646 (Điểm CVSS: 8,2) - Ghi ngoài giới hạn

Ba trong số các lỗi (CVE-2022-23930, CVE-2022-31640 và CVE-2022-31641) đã được thông báo cho HP vào tháng 7 năm 2021, với ba lỗ hổng còn lại (CVE-2022-31644, CVE-2022-31645, và CVE-2022-31646) được báo cáo vào tháng 4 năm 2022.

Cần lưu ý rằng CVE-2022-23930 cũng là một trong 16 lỗi bảo mật đã được gắn cờ trước đó vào tháng 2 này do ảnh hưởng đến một số mô hình doanh nghiệp của HP.

SMM, còn được gọi là "Ring -2", là một chế độ có mục đích đặc biệt được sử dụng bởi chương trình cơ sở (tức là UEFI) để xử lý các chức năng trên toàn hệ thống như quản lý nguồn, ngắt phần cứng hoặc mã được thiết kế bởi nhà sản xuất thiết bị gốc (OEM) độc quyền khác .

Do đó những lỗ hổng được xác định trong thành phần SMM có thể hoạt động như một vectơ tấn công sinh lợi cho các tác nhân đe dọa thực hiện các hoạt động bất chính với các đặc quyền cao hơn của hệ điều hành.

Mặc dù HP đã đưa ra các biện pháp giảm nhẹ để giải quyết các lỗ hổng trong tháng 3 và tháng 8, nhưng nhà cung cấp vẫn chưa đưa ra các bản vá cho tất cả các mẫu máy bị ảnh hưởng, có khả năng khiến khách hàng gặp nguy cơ bị tấn công mạng.

Binarly cho biết: “Trong nhiều trường hợp, firmware là điểm lỗi duy nhất giữa tất cả các lớp của chuỗi cung ứng và thiết bị của khách hàng điểm cuối,” Binarly cho biết thêm, “việc sửa các lỗ hổng cho một nhà cung cấp là không đủ”.

"Do sự phức tạp của chuỗi cung ứng firmware, có những lỗ hổng khó đóng lại ở khâu sản xuất vì nó liên quan đến các vấn đề nằm ngoài tầm kiểm soát của các nhà cung cấp thiết bị."

Tiết lộ cũng được đưa ra khi nhà sản xuất PC tuần trước đã tung ra các bản sửa lỗi cho lỗi báo cáo đặc quyền (CVE-2022-38395, điểm CVSS: 8,2) trong phần mềm khắc phục sự cố Hỗ trợ của họ.

"Kẻ tấn công có thể khai thác lỗ hổng chiếm quyền điều khiển DLL và nâng cao đặc quyền khi Fusion khởi chạy HP Performance Tune-up", công ty lưu ý.

Hương – Theo TheHackerNews