Çok çeşitli HP Enterprise aygıtlarını etkileyen altı adet yüksek önem düzeyine sahip ürün yazılımı güvenlik açığı, bazıları Temmuz 2021’den bu yana kamuya açıklanmış olsa da, hala yamalanmayı bekliyor.
Bellenim kusurları özellikle tehlikelidir çünkü işletim sistemi yeniden yüklemeleri arasında bile devam eden kötü amaçlı yazılım bulaşmalarına yol açabilir veya standart güvenlik araçlarını tetiklemeyen uzun vadeli uzlaşmalara izin verebilir.
Olarak Raporda ikili olarak öne çıkanlarBlack Hat 2022’de bazı kusurları herkese açık hale getireli bir ay olmasına rağmen, satıcı etkilenen tüm modeller için güvenlik güncellemeleri yayınlamadı ve birçok müşteriyi saldırılara maruz bıraktı.
Araştırmacılar HP’ye Temmuz 2021’de üç hata ve Nisan 2022’de diğer üç hata bildirdiler, bu nedenle satıcının etkilenen tüm cihazlar için güncellemeleri zorlamak için dört ay ile bir tam yıldan fazla zamanı vardı.
Güvenlik açığı ayrıntıları
Binarly’nin güvenlik araştırma ekibinin yakın zamanda keşfettiği kusurların tümü, rastgele kod yürütülmesine yol açan SMM (Sistem Yönetim Modülü) bellek bozulması sorunlarıdır.
SMM, düşük seviyeli donanım kontrolü ve güç yönetimi gibi sistem çapında işlevler sağlayan UEFI sabit yazılımının bir parçasıdır.
SMM alt sisteminin (halka -2) ayrıcalıkları, işletim sistemi çekirdeğinin (halka 0) ayrıcalıklarını aşıyor, bu nedenle SMM’yi etkileyen kusurlar Güvenli Önyükleme gibi güvenlik özelliklerini geçersiz kılabilir, görünmez arka kapılar (kurban için) oluşturabilir ve davetsiz misafirleri etkinleştirebilir. kalıcı kötü amaçlı yazılım implantları yüklemek için.
Binarly’nin HP’nin aylardır düzeltmeden bıraktığı altı kusur şunlardır:
- CVE-2022-23930 – Rasgele kod yürütülmesine yol açan yığın tabanlı arabellek taşması. (CVSS v3 puanı: 8.2 “Yüksek”)
- CVE-2022-31644 – Kısmi doğrulamanın atlanmasına izin vererek CommBuffer’a sınır dışı yazma. (CVSS v3 puanı: 7.5 “Yüksek”)
- CVE-2022-31645 – SMI işleyicisine gönderilen işaretçinin boyutunun kontrol edilmemesine bağlı olarak CommBuffer’da sınır dışı yazma. (CVSS v3 puanı: 8.2 “Yüksek”)
- CVE-2022-31646 – Doğrudan bellek işleme API işlevine dayalı olarak sınır dışı yazma, ayrıcalık yükselmesine ve rastgele kod yürütülmesine yol açar. (CVSS v3 puanı: 8.2 “Yüksek”)
- CVE-2022-31640 – Saldırganlara CommBuffer verilerinin kontrolünü veren ve sınırsız değişikliklere giden yolu açan uygun olmayan girdi doğrulaması. (CVSS v3 puanı: 7.5 “Yüksek”)
- CVE-2022-31641 – SMI işleyicisinde rastgele kod yürütülmesine yol açan belirtme çizgisi güvenlik açığı. (CVSS v3 puanı: 7.5 “Yüksek”)
Güvenlik kusurları durumu düzeltme
HP, söz konusu güvenlik açıklarını kabul eden üç güvenlik danışma belgesinin yanı sıra, etkilenen bazı modellerin sorunlarına yönelik eşit sayıda BIOS güncellemesi yayımladı.
CVE-2022-23930, ince istemci bilgisayarlar hariç, Mart 2022’de etkilenen tüm sistemlerde düzeltildi (ayrıntılar için tavsiyeyi kontrol edin).
CVE-2022-31644, CVE-2022-31645 ve CVE-2022-31646, 9 Ağustos 2022’de güvenlik güncellemeleri aldı.
Ancak, birçok iş dizüstü bilgisayarı (Elite, Zbook, ProBook), iş masaüstü bilgisayarları (ProDesk, EliteDesk, ProOne), satış noktası sistemleri ve ayrıca HP iş istasyonları (Z1, Z2, Z4, Zcentral) henüz yama almamıştır (ayrıntılar için tavsiyeyi kontrol edin).
CVE-2022-31640 ve CVE-2022-31641, son güncelleme 7 Eylül 2022’de yapılacak şekilde Ağustos ayı boyunca düzeltmeler aldı, ancak birçok HP iş istasyonu resmi bir düzeltme olmadan açıkta kalmaya devam ediyor (ayrıntılar için tavsiyeyi kontrol edin).
Binarly’nin yorumladığı gibi, tek bir satıcı için üretici yazılımı kusurlarını düzeltmek çok zordur. ürün yazılımı tedarik zincirinin karmaşıklığıpek çok HP müşterisi riski kabul etmek ve fiziksel güvenlik önlemlerini artırmak zorunda kalacak.
BleepingComputer, etkilenen modellerin geri kalanı için güvenlik güncellemelerinin ne zaman yayınlanmasının beklendiği konusunda bir yorum için HP ile iletişime geçti ve bir yanıt aldığımızda bu gönderiyi güncelleyeceğiz.
Güncelleme 9/11/12 11:19 AM EST: Bu makale hatalı olarak bunların HPE güvenlik açıkları olduğunu belirtti. Bunları HP hataları olarak doğru bir şekilde ifade edecek şekilde değiştirir.