Las vulnerabilidades de firmware en muchos modelos de computadoras HP no se corrigieron

Un conjunto de seis vulnerabilidades de firmware de alta gravedad que afectan a una amplia gama de dispositivos HP que se utilizan en entornos empresariales aún están a la espera de ser parcheados, aunque algunas de ellas se divulgaron públicamente desde julio de 2021.

Las vulnerabilidades de firmware son particularmente peligrosas porque pueden provocar infecciones de malware que persisten incluso entre las reinstalaciones del sistema operativo o permitir compromisos a largo plazo que no activarían las herramientas de seguridad estándar.

Como  destaca Binarly en el informe , aunque ha pasado un mes desde que hicieron públicas algunas de las vulnerabilidades en Black Hat 2022, el proveedor no ha publicado actualizaciones de seguridad para todos los modelos afectados, lo que deja a muchos clientes expuestos a ataques.

Los investigadores informaron tres vulnerabilidades a HP en julio de 2021 y los otros tres en abril de 2022, por lo que el proveedor tuvo entre cuatro meses y más de un año completo para impulsar actualizaciones para todos los dispositivos afectados.

Detalles de vulnerabilidad

Las vulnerabilidades que el equipo de investigación de seguridad de Binarly descubrió recientemente son todos problemas de corrupción de memoria SMM (Módulo de administración del sistema) que conducen a la ejecución de código arbitrario.

SMM es parte del firmware UEFI que proporciona funciones para todo el sistema, como control de hardware de bajo nivel y administración de energía.

Los privilegios del subsistema SMM (anillo -2) superan los del kernel del sistema operativo (anillo 0), por lo que las vulnerabilidades que afectan el SMM pueden invalidar funciones de seguridad como el arranque seguro, crear puertas traseras invisibles (para la víctima) y habilitadas para que los intrusos instalen implantes persistentes de malware.

Los seis defectos que Binarly dice que HP ha dejado sin parchear durante meses son:

  • CVE-2022-23930 : desbordamiento de búfer basado en pila que conduce a la ejecución de código arbitrario. (Puntaje CVSS v3: 8.2 “Alto”)
  • CVE-2022-31644 : escritura fuera de los límites en CommBuffer, lo que permite omitir la validación parcial. (Puntuación CVSS v3: 7.5 “Alto”)
  • CVE-2022-31645 : Escritura fuera de los límites en CommBuffer basada en no verificar el tamaño del puntero enviado al controlador SMI. (Puntaje CVSS v3: 8.2 “Alto”)
  • CVE-2022-31646 : escritura fuera de los límites basada en la funcionalidad API de manipulación directa de la memoria, lo que lleva a la elevación de privilegios y la ejecución de código arbitrario. (Puntaje CVSS v3: 8.2 “Alto”)
  • CVE-2022-31640 : validación de entrada incorrecta que otorga a los atacantes el control de los datos de CommBuffer y abre el camino a modificaciones sin restricciones. (Puntuación CVSS v3: 7.5 “Alto”)
  • CVE-2022-31641 : vulnerabilidad de llamada en el controlador SMI que conduce a la ejecución de código arbitrario. (Puntuación CVSS v3: 7.5 “Alto”)
Activación de daños en la memoria en SMM (CVE-2022-31645)

Estado de reparación de vulnerabilidades de seguridad

HP ha publicado tres avisos de seguridad que reconocen las vulnerabilidades mencionadas, junto con una cantidad igual de actualizaciones de BIOS que abordan los problemas de algunos de los modelos afectados.

CVE-2022-23930 se corrigió en todos los sistemas afectados en marzo de 2022, excepto en las PC de cliente ligero .

CVE-2022-31644, CVE-2022-31645 y CVE-2022-31646 recibieron actualizaciones de seguridad el 9 de agosto de 2022.

Sin embargo, muchas computadoras portátiles comerciales (Elite, Zbook, ProBook), computadoras de escritorio comerciales (ProDesk, EliteDesk, ProOne), sistemas de punto de venta y también estaciones de trabajo HP (Z1, Z2, Z4, Zcentral) aún no han recibido parches ( consulte aviso para más detalles ).

CVE-2022-31640 y CVE-2022-31641 recibieron correcciones a lo largo de agosto, y la última actualización llegó el 7 de septiembre de 2022, pero muchas estaciones de trabajo HP siguen expuestas sin una corrección oficial ( consulte el aviso para obtener más detalles ).

Como comenta Binarly, corregir vulnerabilidades de firmware es un gran desafío para un solo proveedor debido a la complejidad de la cadena de suministro de firmware , por lo que muchos clientes de HP tendrán que aceptar el riesgo y aumentar sus medidas de seguridad física.

Fuente: https://www.bleepingcomputer.com/news/security/firmware-bugs-in-many-hp-computer-models-left-unfixed-for-over-a-year/