Bug nei firmware HP corretti dopo oltre un anno

Bug nei firmware HP corretti dopo oltre un anno

HP ha impiegato diversi mesi per rilasciare le patch di sicurezza che risolvono sei vulnerabilità presenti nei firmware UEFI dei prodotti business.
Bug nei firmware HP corretti dopo oltre un anno
HP ha impiegato diversi mesi per rilasciare le patch di sicurezza che risolvono sei vulnerabilità presenti nei firmware UEFI dei prodotti business.

Durante la conferenza Black Hat 2022 sono stati illustrati i dettagli di sei vulnerabilità presenti nei firmware di alcuni dispositivi business di HP. Nonostante alcune di esse siano state segnalate oltre un anno fa, il produttore statunitense non ha ancora rilasciato le patch per tutti i modelli interessati. Per cercare di bloccare i malware che sfruttano questo tipo di bug è consigliata l’installazione di una soluzione di sicurezza.

Patch rilasciate in ritardo

Le sei vulnerabilità sono state scoperte dagli esperti di Binarly. Tutti i bug riguardano il System Management Module del firmware UEFI. A causa della corruzione della memoria del SMM, i malintenzionati potrebbero eseguire codice arbitrario con privilegi elevati. Un eventuale malware rimarrebbe a lungo sul dispositivo, anche dopo la reinstallazione del sistema operativo, in quanto non rilevabile facilmente dalle soluzioni di sicurezza.

Tre vulnerabilità, ovvero CVE-2022-23930, CVE-2022-31640 e CVE-2022-31641, sono state segnalate ad HP il 12 luglio 2021. Le altre tre, ovvero CVE-2022-31644, CVE-2022-31645 e CVE-2022-31646, sono state segnalate il 12 aprile 2022. La patch sono state rilasciate tra marzo e agosto 2022.

Tuttavia, le patch più recenti non sono ancora disponibili per tutti i prodotti interessati (notebook, PC desktop e workstation). Le aziende dovrebbero prestare molta attenzione ai possibili rischi. In attesa dei fix ufficiali sarebbe meglio rafforzare le misure di sicurezza o utilizzare altri dispositivi di HP (o altri produttori).

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 13 set 2022
Link copiato negli appunti