Un ensemble de six vulnérabilités de micrologiciel de haute gravité affectant une large gamme d’appareils HP utilisés dans les environnements d’entreprise attendent toujours d’être corrigées, bien que certaines d’entre elles aient été divulguées publiquement depuis juillet 2021.
Les failles du micrologiciel sont particulièrement dangereuses car elles peuvent entraîner des infections par des logiciels malveillants qui persistent même entre les réinstallations du système d’exploitation ou permettre des compromis à long terme qui ne déclencheraient pas les outils de sécurité standard.
Comme Faits saillants binaires dans le rapportmême si cela fait un mois qu’ils ont rendu publiques certaines des failles de Black Hat 2022, le fournisseur n’a pas publié de mises à jour de sécurité pour tous les modèles concernés, laissant de nombreux clients exposés à des attaques.
Les chercheurs ont signalé trois bogues à HP en juillet 2021 et les trois autres en avril 2022, de sorte que le fournisseur avait entre quatre mois et plus d’une année complète pour pousser les mises à jour pour tous les appareils concernés.
Détails de la vulnérabilité
Les failles découvertes récemment par l’équipe de recherche en sécurité de Binarly sont toutes des problèmes de corruption de mémoire SMM (System Management Module) conduisant à l’exécution de code arbitraire.
SMM fait partie du micrologiciel UEFI qui fournit des fonctions à l’échelle du système telles que le contrôle matériel de bas niveau et la gestion de l’alimentation.
Les privilèges du sous-système SMM (anneau -2) dépassent ceux du noyau du système d’exploitation (anneau 0), de sorte que les failles affectant le SMM peuvent invalider les fonctionnalités de sécurité telles que Secure Boot, créer des portes dérobées invisibles (pour la victime) et activer les intrus. pour installer des implants de logiciels malveillants persistants.
Les six failles que Binarly dit que HP n’a pas corrigées depuis des mois sont :
- CVE-2022-23930 – Débordement de tampon basé sur la pile conduisant à l’exécution de code arbitraire. (Score CVSS v3 : 8,2 « Élevé »)
- CVE-2022-31644 – Écriture hors limites sur CommBuffer, permettant le contournement partiel de la validation. (Score CVSS v3 : 7,5 « Élevé »)
- CVE-2022-31645 – Écriture hors limites sur CommBuffer basée sur la non-vérification de la taille du pointeur envoyé au gestionnaire SMI. (Score CVSS v3 : 8,2 « Élevé »)
- CVE-2022-31646 – Écriture hors limites basée sur la fonctionnalité API de manipulation directe de la mémoire, entraînant une élévation des privilèges et l’exécution de code arbitraire. (Score CVSS v3 : 8,2 « Élevé »)
- CVE-2022-31640 – Validation d’entrée incorrecte donnant aux attaquants le contrôle des données CommBuffer et ouvrant la voie à des modifications illimitées. (Score CVSS v3 : 7,5 « Élevé »)
- CVE-2022-31641 – Vulnérabilité d’appel dans le gestionnaire SMI conduisant à l’exécution de code arbitraire. (Score CVSS v3 : 7,5 « Élevé »)
Statut de correction des failles de sécurité
HP a publié trois avis de sécurité reconnaissant les vulnérabilités mentionnées, ainsi qu’un nombre égal de mises à jour du BIOS résolvant les problèmes de certains des modèles concernés.
CVE-2022-23930 a été corrigé sur tous les systèmes concernés en mars 2022, à l’exception des PC clients légers (consulter l’avis pour plus de détails).
CVE-2022-31644, CVE-2022-31645 et CVE-2022-31646 ont reçu des mises à jour de sécurité le 9 août 2022.
Cependant, de nombreux ordinateurs portables professionnels (Elite, Zbook, ProBook), ordinateurs de bureau professionnels (ProDesk, EliteDesk, ProOne), systèmes de point de vente et également stations de travail HP (Z1, Z2, Z4, Zcentral) n’ont pas encore reçu de correctifs (consulter l’avis pour plus de détails).
CVE-2022-31640 et CVE-2022-31641 ont reçu des correctifs tout au long du mois d’août, la dernière mise à jour ayant atterri le 7 septembre 2022, mais de nombreuses stations de travail HP restent exposées sans correctif officiel (consulter l’avis pour plus de détails).
Comme le commente Binarly, la correction des défauts du micrologiciel est très difficile pour un seul fournisseur en raison de la complexité de la chaîne d’approvisionnement du micrologicielde nombreux clients HP devront accepter le risque et renforcer leurs mesures de sécurité physique.
BleepingComputer a contacté HP pour un commentaire sur la date de publication prévue des mises à jour de sécurité pour le reste des modèles concernés, et nous mettrons à jour ce message lorsque nous aurons une réponse.
Mise à jour 9/11/12 11:19 AM EST : Cet article spécifiait à tort qu’il s’agissait de vulnérabilités HPE. Modifie pour les désigner correctement comme des bogues HP.