影响广泛惠普企业设备的六个高严重性固件漏洞仍在等待修补,尽管其中一些漏洞自 2021 年 7 月以来已公开披露。
固件缺陷特别危险,因为它们可能导致恶意软件感染,即使在操作系统重新安装之间仍然存在,或者允许不会触发标准安全工具的长期妥协。
正如 Binarly 在报告中强调的那样,尽管他们在 Black Hat 2022 上公开了一些缺陷已经一个月了,但该供应商尚未发布所有受影响模型的安全更新,这使得许多客户面临攻击。
研究人员在 2021 年 7 月向惠普报告了三个错误,在 2022 年 4 月向惠普报告了另外三个错误,因此供应商有四个月到一整年的时间来为所有受影响的设备推送更新。
漏洞详情
Binarly 的安全研究团队最近发现的漏洞都是 SMM(系统管理模块)内存损坏问题导致任意代码执行。
SMM 是 UEFI 固件的一部分,它提供系统范围的功能,如低级硬件控制和电源管理。
SMM 子系统(环 -2)的权限超过了操作系统内核(环 0)的权限,因此影响 SMM 的漏洞可能会使安全启动等安全功能失效,创建不可见的后门(针对受害者),并启用入侵者安装持久性恶意软件植入物。
Binarly 表示,HPE 几个月未修补的六个缺陷是:
CVE-2022-23930 – 基于堆栈的缓冲区溢出导致任意代码执行。(CVSS v3 分数:8.2“高”)
CVE-2022-31644 – CommBuffer 上的越界写入,允许绕过部分验证。(CVSS v3 分数:7.5“高”)
CVE-2022-31645 – 基于未检查发送到 SMI 处理程序的指针大小而在 CommBuffer 上越界写入。(CVSS v3 分数:8.2“高”)
CVE-2022-31646 – 基于直接内存操作 API 功能的越界写入,导致特权提升和任意代码执行。(CVSS v3 分数:8.2“高”)
CVE-2022-31640 – 不正确的输入验证使攻击者能够控制 CommBuffer 数据并打开不受限制的修改路径。(CVSS v3 分数:7.5“高”)
CVE-2022-31641 – SMI 处理程序中的标注漏洞导致任意代码执行。(CVSS v3 分数:7.5“高”)
安全漏洞修复状态
惠普已经发布了三个安全公告,承认了上述漏洞,以及相同数量的 BIOS 更新解决了一些受影响型号的问题。
CVE-2022-23930 已于 2022 年 3 月在所有受影响的系统上修复,瘦客户端 PC 除外(有关详细信息,请查看咨询公告)。
CVE-2022-31644、CVE-2022-31645 和 CVE-2022-31646 于 2022 年 8 月 9 日收到了安全更新。
但是,许多商务笔记本电脑(Elite、Zbook、ProBook)、商务台式电脑(ProDesk、EliteDesk、ProOne)、销售点系统以及惠普工作站(Z1、Z2、Z4、Zcentral)尚未收到补丁(查看详情咨询)。
CVE-2022-31640 和 CVE-2022-31641 在整个 8 月都收到了修复,最后一次更新于 2022 年 9 月 7 日登陆,但许多 HP 工作站仍然暴露在没有官方修复的情况下(查看咨询了解详细信息)。
正如 Binarly 评论的那样,由于固件供应链的复杂性,修复固件缺陷对于单个供应商来说非常具有挑战性,因此许多惠普客户将不得不接受风险并加强他们的物理安全措施。
zzqidc已联系 HP 就其他受影响型号的安全更新预计何时发布发表评论,我们将在收到回复后更新此帖子。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 许多 HPE 计算机型号中的固件错误一年多未修复
