吳明宜研究人員通報多項 HP 電腦韌體漏洞 發現難以修補導致部份設備曝險超過 1 年
安全廠商 Binarly 本周指出,影響多款 HP 企業 PC 產品的 6 項韌體漏洞,其中半數在去年 7 月已經公開,但部份 HP 機器還未修補完成,意謂著曝險已經長達 1 年。
韌體漏洞特別危險,因為可能讓惡意程式躲過 OS 重灌而留在電腦中,或是因不會觸發安全工具而造成長期危害。Binarly 研究人員去年 7 月通報 HP 3 項漏洞,今年 4 月再通報 3 項漏洞,因此在某些 HP 機器上,這些漏洞該修補卻曝險的時間,最長已經超過 1 年。
Binarly 發現的所有漏洞都是 SMM (System Management Module) 記憶體毁損問題,導致任意程式碼執行。SMM 是 UEFI 韌體的一部份,提供像是低階硬體控制和能源管理等全系統功能。SMM 子系統 (ring-2) 的權限超過作業系統核心 (ring 0),因此影響 SMM 的漏洞可以繞過像是安全開機等安全防護,而在系統上形成看不見的後門,使攻擊者得以安裝惡意嵌入程式。
Binarly 發現的 6 項漏洞包括:CVE-2022-23930,堆疊型緩衝溢位漏洞,可引發任意程式碼執行。CVE-2022-31644 和 CVE-2022-31645,為 CommBuffer 元件上的 2 個越界寫入瑕疵,前者可允許繞過部份驗證(風險值 7.5),後者可造成權限升級及任意程式碼執行(風險值 8.2)。CVE-2022-31646 為記憶體管理 API 上的越界寫入漏洞,造成權限升級與任意程式碼執行(風險值 8.2)。
剩下 2 個漏洞,其中 CVE-2022-31640 讓攻擊者得以控制 CommBuffer 資料,開啟取得無修改限制的路徑。CVE-2022-31541 則為 SMI handler 元件漏洞,能造成任意程式碼執行。兩者風險值皆為 7.5。
針對前 4 項漏洞,HP 幾個月之前已開始發佈 BIOS 更新,其中 CVE-2022-23930 已在今年 3 月修補大部份 PC 漏洞,除了精簡 PC。CVE-2022-31644、CVE-2022-31645 和 CVE-2022-31646 則在 8 月 9 日修補完成。
但是許多企業型機種,包括商用筆電 (Elite, Zbook, ProBook)、商用桌機 (ProDesk, EliteDesk, ProOne)、POS 機和 HP 工作站 (Z1, Z2, Z4, Zcentral) 都還尚未獲得安全更新。
最後 2 個漏洞,CVE-2022-31640 和 CVE-2022-31641 已在 8 月到 9 月初修補,但還有不少 HP 工作站仍在等待官方修補。
Binarly 指出,由於韌體的供應鏈相當複雜,要修補韌體漏洞對單一廠商來說是非常吃力,因此許多 HP 客戶在等到安全更新之前,實體安全措施得先擋一擋。