在 Binarly 安全研究人员向惠普披露这些漏洞并在上个月的黑帽安全会议上讨论这些漏洞之后一年多,惠普企业计算机中的多个高严重性固件漏洞仍未修补。
这意味着这些漏洞的严重性评分从 7.5 到 8.2 不等,仍然可以被希望执行一系列邪恶行为的不法分子利用,从窃取数据到完全关闭机器。而且由于这些漏洞是黑帽大会的主题,因此潜在的网络犯罪分子基本上可以使用操作工具包。
一位发言人表示,惠普“意识到 Binarly 报告的潜在 SMM 漏洞”,他指示The Register从 3 月份开始发布安全警报,该警报解决了其中一个错误 ( CVE-2022-23930 )。
“安全始终是惠普的重中之重,我们感谢 Binarly 为帮助惠普产品更安全所做的贡献,”该发言人在一封电子邮件声明中表示。“我们鼓励所有客户使用最新的软件、驱动程序和固件更新他们的系统,以帮助防止漏洞。”
但是,针对多个商务笔记本电脑、台式机、零售销售点系统和工作站的三个错误(CVE-2022-31644、CVE-2022-31645 和 CVE-2022-31646)的补丁仍被列为“待定” ” 根据8 月的安全公告,截至 9 月 9 日,某些工作站型号和瘦客户端 PC 中的 CVE-2022-31640 和 CVE-2022-31641 仍未修补。
惠普没有回应The Register关于何时为这些设备发布修复程序的问题。
Binarly 首席执行官兼联合创始人 Alex Matrosov 表示,他的团队在 2021 年 7 月和 2022 年 4 月向惠普披露了这些漏洞,然后在上个月的 Black Hat 演讲中讨论了这些漏洞,然后在上周发布了一篇关于这些漏洞的博客。
“9 月 8 日发布博客的主要原因是提高了人们的意识,因为我们看到很多问题已经在我们的客户企业环境中在完全打补丁的 HP 设备上触发,”他告诉The Register。
在博客中,Binarly 安全研究人员详细介绍了由于系统管理模式 (SMM) 内存损坏问题导致的六个任意代码执行漏洞。具体来说,这些包括:
CVE-2022-23930,一个基于堆栈的缓冲区溢出漏洞,会导致权限升级到 SMM。CVSS 评分:8.2。
CVE-2022-31644,越界写入,由于通信缓冲区中的输入验证不正确。这可能允许攻击者绕过安全启动和其他安全机制,并在 BIOS 中安装固件后门以实现持久性。CVSS 评分:7.5。
CVE-2022-31645,另一个越界写入漏洞,也可能导致 BIOS 中的后门。CVSS 评分:8.2。
CVE-2022-31646,一个基于直接内存操作 API 功能的越界写入漏洞,会导致权限提升。CVSS 评分:8.2。
CVE-2022-31640,一个标注漏洞,可能允许攻击者访问 SMM 并执行任意代码。CVSS 评分:7.5。
CVE-2022-31641,另一个 SMM 标注漏洞,可能导致任意代码执行。CVSS 评分:7.5。
当被问及 Binarly 研究人员是否对惠普计划何时修复这些缺陷有任何见解时,马特罗索夫说他没有收到供应商的消息。
“它应该已经根据 8 月 10 日的协调披露时间表进行了修补,”他补充说。
不过,他指出,固件漏洞可能特别难以完全修复,因为它们通常不仅会影响一个供应商,还会影响在其 UEFI 固件软件中使用独立 BIOS 开发人员 (IBV) 代码的每个人。
“由于供应链的复杂性,即使是设备供应商有时也难以识别所有受影响的产品,”Matrosov 说。
他补充说,为了帮助公司“从这些可重复的失败中恢复过来”,该公司创建并开源了 Binarly FwHunt。它还提供免费服务,扫描 UEFI 固件映像中的漏洞。
