Enterprise ortamlarında kullanılan çok çeşitli HP cihazlarını etkileyen altı yüksek şiddetli ürün yazılımı güvenlik açıkları, bazıları Temmuz 2021'den bu yana herkesin açıklanmasına rağmen, hala yamalanmayı bekliyor.
Ürün yazılımı kusurları özellikle tehlikelidir, çünkü işletim sistemi yeniden yüklemeleri arasında bile devam eden kötü amaçlı yazılım enfeksiyonlarına yol açabilir veya standart güvenlik araçlarını tetiklemeyecek uzun vadeli uzlaşmalara izin verebilirler.
Binarly'nin raporda vurguladığı gibi, Black Hat 2022'de bazı kusurları halka açtıktan sonra bir ay olmasına rağmen, satıcı, etkilenen tüm modeller için güvenlik güncellemeleri yayınlamadı ve birçok müşteriyi saldırılara maruz bıraktı.
Araştırmacılar, Temmuz 2021'de HP'ye üç hata ve Nisan 2022'de diğer üçü bildirdiler, bu nedenle satıcının etkilenen tüm cihazlar için güncellemeleri zorlamak için dört ay ve tam bir yıldan fazla vardı.
Kusurlar Binarly’nin yakın zamanda keşfedilen güvenlik araştırma ekibinin tümü SMM (Sistem Yönetimi Modülü) bellek yolsuzluğu sorunları keyfi kod yürütülmesine yol açıyor.
SMM, düşük seviyeli donanım kontrolü ve güç yönetimi gibi sistem çapında işlevler sunan UEFI ürün yazılımının bir parçasıdır.
SMM alt sisteminin (halka -2) ayrıcalıkları işletim sistemi çekirdeğinin (halka 0) ayrıcalıklarını aşar, bu nedenle SMM'yi etkileyen kusurlar güvenli önyükleme gibi güvenlik özelliklerini geçersiz kılabilir, görünmez arka kapı oluşturabilir (kurban için) ve davetsiz misafirleri etkinleştirebilir Kalıcı kötü amaçlı yazılım implantları kurmak için.
Binarly, HP'nin aylarca açılmamış bıraktığını söylüyor:
HP, etkilenen bazı modellerin sorunlarını ele alan eşit sayıda BIOS güncellemesi ile birlikte belirtilen güvenlik açıklarını kabul eden üç güvenlik danışmanı yayınladı.
CVE-2022-23930, ince istemci PC'ler hariç, Mart 2022'de tüm etkilenen sistemlere sabitlendi (ayrıntılar için danışmanlık kontrolü).
CVE-2022-31644, CVE-2022-31645 ve CVE-2022-31646, 9 Ağustos 2022'de güvenlik güncellemeleri aldı.
Bununla birlikte, birçok işletme dizüstü bilgisayar PC'si (Elite, Zbook, Probook), iş masaüstü bilgisayarları (Prodesk, Elitedesk, Proone), Satış Noktası Sistemleri ve ayrıca HP İş İstasyonları (Z1, Z2, ZCENTRAL) henüz yamalar almadı ( ayrıntılar için danışmanlık).
CVE-2022-31640 ve CVE-2022-31641, Ağustos ayı boyunca düzeltmeler aldı, son güncelleme 7 Eylül 2022'de iniş, ancak birçok HP iş istasyonu resmi bir düzeltme olmadan açığa çıktı (ayrıntılar için danışmanlık kontrolü).
Binarly yorumları gibi, ürün yazılımı kusurlarını düzeltmek, ürün yazılımı tedarik zincirinin karmaşıklığı nedeniyle tek bir satıcı için çok zorlayıcıdır, bu nedenle birçok HP müşterisi riski kabul etmek ve fiziksel güvenlik önlemlerini artırmalıdır.
BleepingComputer, etkilenen modellerin geri kalanı için güvenlik güncellemelerinin yayınlanması beklendiğinde HP ile iletişime geçti ve yanıt aldığımızda bu yayını güncelleyeceğiz.
GÜNCELLEME 9/11/12 11:19 AM EST: Bu makale yanlış bir şekilde bunların HPE güvenlik açıkları olduğunu belirtti. HP hataları olarak adlandırılacak şekilde değiştirildi.
Yeni UEFI ürün yazılımı kusurları 70'den fazla Lenovo dizüstü bilgisayar modelini etkiler
HP, önceden yüklenmiş destek asistanı aracında şiddetli hatayı düzeltir
Zyxel, kritik RCE güvenlik açığını düzeltmek için yeni NAS ürün yazılımı yayınladı
Gigabyte, Asus anakartlarında bulunan Cosmicstrand UEFI kötü amaçlı yazılım
HP, AB'de HP olmayan mürekkep kartuşlarını engellemek için müşterilere ödeme yapacak
Kaynak: Bleeping Computer