惠普企业设备固件出现严重安全漏洞未修补

即使在公开披露数月后，惠普面向商业的高端笔记本电脑中发现的许多固件安全漏洞在一些设备中仍然没有修补。

Binarly在 2022 年 8 月中旬的Black Hat USA 会议上首次披露了这些漏洞的细节，并表示“由于受信任的平台模块 (TPM) 测量的限制，固件完整性监控系统无法检测到这些漏洞。”

固件缺陷可能会产生严重影响，因为它们可能会被对手滥用，以在设备上实现长期持久性，从而可以在重新启动后幸免于难并逃避传统的操作系统级安全保护。

Binarly 发现的高严重性弱点会影响 HP EliteBook 设备，并涉及固件的系统管理模式 (SMM) 中的内存损坏情况，从而能够以最高权限执行任意代码 -

CVE-2022-23930（CVSS 分数：8.2）- 基于堆栈的缓冲区溢出

CVE-2022-31640（CVSS 分数：7.5）- 输入验证不正确

CVE-2022-31641（CVSS 分数：7.5）- 输入验证不正确

CVE-2022-31644（CVSS 分数：7.5）- 越界写入

CVE-2022-31645（CVSS 分数：8.2）- 越界写入

CVE-2022-31646（CVSS 分数：8.2）- 越界写入

其中三个漏洞（CVE-2022-23930、CVE-2022-31640 和 CVE-2022-31641）已于 2021 年 7 月通知惠普，其余三个漏洞（CVE-2022-31644、CVE-2022-31645、和 CVE-2022-31646）于 2022 年 4 月报告。

值得注意的是，CVE-2022-23930 也是今年 2 月初之前标记为影响 HP 的几种企业模型的16 个安全漏洞之一。

SMM，也称为“Ring -2”，是固件（即 UEFI）使用的一种专用模式，用于处理系统范围的功能，例如电源管理、硬件中断或其他专有原始设备制造商 (OEM) 设计的代码.

因此，SMM 组件中发现的缺陷可以作为一个有利可图的攻击媒介，让威胁参与者以比操作系统更高的权限执行恶意活动。

尽管惠普已在 3 月和 8 月发布更新以解决这些缺陷，但该供应商尚未为所有受影响的型号推送补丁，这可能使客户面临网络攻击的风险。

Binarly说：“在许多情况下，固件是供应链所有层和终端客户设备之间的单点故障，修复单个供应商的漏洞是不够的。由于固件供应链的复杂性，制造端存在难以弥补的差距，因为涉及设备供应商无法控制的问题。”

随着 PC 制造商上周在其 Support Assistant 故障排除软件中推出针对特权升级漏洞（CVE-2022-38395，CVSS 分数：8.2）的修复程序，该披露也随之而来。

该公司在一份公告中指出，当 Fusion 启动 HP Performance Tune-up 时，攻击者有可能利用 DLL 劫持漏洞并提升权限。

原文始发于微信公众号（河南等级保护测评）：惠普企业设备固件出现严重安全漏洞未修补