研究人員通報多項HP電腦韌體漏洞 發現難以修補導致部份設備曝險超過1年

安全廠商Binarly本周指出,影響多款HP企業PC產品的6項韌體漏洞,其中半數在去年7月已經公開,但部份HP機器還未修補完成,意謂著曝險已經長達1年。

安全廠商Binarly本周指出,影響多款HP企業PC產品的6項韌體漏洞,其中半數在去年7月已經公開,但部份HP機器還未修補完成,意謂著曝險已經長達1年。

韌體漏洞特別危險,因為可能讓惡意程式躲過OS重灌而留在電腦中,或是因不會觸發安全工具而造成長期危害。Binarly研究人員去年7月通報HP 3項漏洞,今年4月再通報3項漏洞,因此在某些HP機器上,這些漏洞該修補卻曝險的時間,最長已經超過1年。

Binarly發現的所有漏洞都是SMM (System Management Module)記憶體毁損問題,導致任意程式碼執行。SMM是UEFI韌體的一部份,提供像是低階硬體控制和能源管理等全系統功能。SMM子系統(ring-2)的權限超過作業系統核心(ring 0),因此影響SMM的漏洞可以繞過像是安全開機等安全防護,而在系統上形成看不見的後門,使攻擊者得以安裝惡意嵌入程式。

Binarly發現的6項漏洞包括:CVE-2022-23930,堆疊型緩衝溢位漏洞,可引發任意程式碼執行。CVE-2022-31644和CVE-2022-31645,為CommBuffer元件上的2個越界寫入瑕疵,前者可允許繞過部份驗證(風險值7.5),後者可造成權限升級及任意程式碼執行(風險值8.2)。CVE-2022-31646為記憶體管理API上的越界寫入漏洞,造成權限升級與任意程式碼執行(風險值8.2)。

剩下2個漏洞,其中CVE-2022-31640讓攻擊者得以控制CommBuffer資料,開啟取得無修改限制的路徑。CVE-2022-31541則為SMI handler元件漏洞,能造成任意程式碼執行。兩者風險值皆為7.5。

針對前4項漏洞,HP幾個月之前已開始發佈BIOS更新,其中CVE-2022-23930已在今年3月修補大部份PC漏洞,除了精簡PC。CVE-2022-31644、CVE-2022-31645和 CVE-2022-31646則在8月9日修補完成。

但是許多企業型機種,包括商用筆電(Elite, Zbook, ProBook)、商用桌機(ProDesk, EliteDesk, ProOne)、POS機和HP工作站(Z1, Z2, Z4, Zcentral)都還尚未獲得安全更新。

最後2個漏洞,CVE-2022-31640 和CVE-2022-31641已在8月到9月初修補,但還有不少HP工作站仍在等待官方修補。

Binarly指出,由於韌體的供應鏈相當複雜,要修補韌體漏洞對單一廠商來說是非常吃力,因此許多HP客戶在等到安全更新之前,實體安全措施得先擋一擋。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416