Sáu lỗ hổng bảo mật nghiêm trọng trong firmware ảnh hưởng tới một loạt thiết bị HP dùng trong môi trường doanh nghiệp vẫn đang chờ được vá mặc dù một trong số lỗ hổng đó đã được tiết lộ công khai từ tháng 7/2021.
Các lỗ hổng trong firmware đặc biệt nguy hiểm bởi chúng có thể dẫn tới việc việc lây nhiễm các mã độc có thể tồn tại lâu dài trên hệ thống. Khai thác lỗ hổng firmware, mã độc có thể tồn tại ngay cả khi người dùng cài đặt lại hệ điều hành và qua mặt các phần mềm diệt virus hoặc các công cụ bảo mật.
Theo Binarly, HP đang rất chậm trễ trong việc tung ra bản vá cho các lỗ hổng bảo mật. Một số lỗ hổng đã được công khai tại sự kiện Black Hat 2022 diễn ra một tháng trước khiến nhiều khách hàng bị đe dọa nếu như không có bản vá kịp thời.
Các nhà nghiên cứu đã báo cáo ba lỗ hổng cho HP vào tháng 7/2021 và ba lỗ hổng khác vào tháng 4/2022. Do vậy, HP đã có từ 4 tháng đến hơn 1 năm để đẩy các bản cập nhật cho tất cả các thiết bị bị ảnh hưởng.
Chi tiết về các lỗ hổng bảo mật
Các lỗ hổng mà nhóm nghiên cứu bảo mật của Binarly phát hiện gần đây đều ;à vấn đề hỏng bộ nhớ SMM (System Management Module) dẫn tới thực thi code tùy ý.
SMM là một phần của firmware UEFI cung cấp các chức năng trên toàn hệ thống như điều khiển phần cứng cấp thấp và quản lý điện năng.
Các đặc quyền của hệ thống con SMM (ring-2) vượt quá đặc quyền của kernen hệ điều hành (ring-0), do đó, các sai sót ảnh hưởng đến SMM có thể làm mất hiệu năng các tính năng bảo mật như Secure Boot, tạo ra backdoor vô hình (cho nạn nhân) và cho phép kẻ xâm nhập cài đặt các mã độc với khả năng tồn tại lâu dài trên hệ thống.
Sáu lỗ hổng mà Binarly cho biết HP đã không vá trong nhiều tháng gồm:
- CVE-2022-23930: Tràn bộ đệm dựa trên ngăn xếp dẫn tới thực thi code tùy ý, điểm CVSS 8.2.
- CVE-2022-31644: Ghi ngoài giới hạn trên CommBuffer, cho phép bỏ qua một phần xác thực điểm CVSS 7.5.
- CVE-2022-31645: Ghi ngoài giới hạn dựa trên việc không kiểm tra kích thước của con trỏ được gửi đến trình xử lý SMI, điểm CVSS 8.2.
- CVE-2022-31646: Ghi ngoài giới hạn dựa trên chức năng API thao tác bộ nhớ trực tiếp, dẫn tới nâng cao đặc quyền và thực thi code tùy ý, điểm CVSS 8.2
- CVE-2022-31640: Xác thực đầu vào không phù hợp cho phép hacker kiểm soát dữ liệu CommBuffer và mở đường dẫn đến các sửa đổi không hạn chế, điểm CVSS 7.5.
- CVE-2022-31641: Lỗ hổng chú thích trong quá trình xử lý SMI dẫn tới thực thi code tùy ý, điểm CVSS 7.5.
Tình trạng vá lỗ hổng bảo mật
Ngay sau khi nhận được khiếu nại, HP đã phát hành ba văn bản tư vấn bảo mật thừa nhận các lỗ hổng kể trên. Bên cạnh đó, họ cũng đã tung ra các bản cập nhật BIOS để khăc phục các vấn đề trên một số model bị ảnh hưởng.
CVE-2022-23930 đã được sửa trên tất cả các hệ thống bị ảnh hưởng vào tháng 3/2022, ngoại trừ các mẫu thin PC.
CVE-2022-31644, CVE-2022-31645 và CVE-2022-31646 đã nhận được bản vá vào ngày 9/8/022.
Tuy nhiên, nhiều mẫu laptop doanh nghiệp (Elite, Zbook, ProBook), máy tính để bàn (ProDesk, EliteDesk, ProOne) máy tính chuyên dụng và cả máy trạm (Z1, Z2, Z4, Zcentral) vẫn chưa nhận được bản vá.
CVE-2022-31640 và CVE-2022-31641 đã nhận được bản vá lỗi trong suốt tháng 8 và bản vá cuối cùng được tung ra vào ngày 7/9/2022. Nhưng nhiều máy trạm HP vẫn chưa được vá.
Dẫu vậy, theo nhận xét của Binarly, việc vá lỗ hổng trên firmware là rất khó khăn do sự phức tạp của chuỗi cung ứng phần mềm. Do đó, nhiều khách hàng của HP sẽ phải chấp nhận rủi ro và tự tăng cường các biện pháp bảo mật vật lý.