🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Vulnerabilidades de firmware en computadoras HP no se han corregido durante más de un año

Un conjunto de seis vulnerabilidades de firmware de alta gravedad que afectan a una amplia gama de dispositivos HP que se utilizan en entornos empresariales aún están a la espera de ser parcheados, aunque algunas de ellas se divulgaron públicamente desde julio de 2021.

Las vulnerabilidades de firmware son particularmente peligrosas porque pueden provocar infecciones de malware que persisten durante mucho tiempo. Estas pueden persistir entre las reinstalaciones del sistema operativo  y, además, permitir compromisos a largo plazo que no activan las herramientas de seguridad estándar.

Un atacante puede instalar un implante malicioso en diferentes niveles del firmware, ya sea como un módulo legítimo modificado o como un controlador independiente.

Como  destaca Binarly en el informe, aunque ha pasado un mes desde que hicieron públicas algunas de las vulnerabilidades en Black Hat 2022, HP no ha actuado.  El proveedor no ha publicado actualizaciones de seguridad para todos los modelos afectados, lo que deja a muchos clientes expuestos a ataques.

Los investigadores informaron tres vulnerabilidades a HP en julio de 2021 y las otras tres en abril de 2022. En otras palabras, el proveedor tuvo entre cuatro meses y más de un año completo para impulsar actualizaciones para todos los dispositivos afectados.

Alcance de las vulnerabilidades

Las vulnerabilidades que el equipo de investigación de seguridad de Binarly descubrió recientemente son todos problemas de corrupción de memoria SMM (Módulo de Administración del Sistema) que conducen a la ejecución de código arbitrario.

SMM es parte del firmware UEFI que proporciona funciones para todo el sistema, como control de hardware de bajo nivel y administración de energía.

Los privilegios del subsistema SMM (anillo -2) superan los del kernel del sistema operativo (anillo 0), por lo que las vulnerabilidades que afectan el SMM pueden invalidar funciones de seguridad como el arranque seguro. Asimismo, pueden crear puertas traseras invisibles (para la víctima) y permitir que los intrusos instalen implantes de malware persistentes.

Vulnerabilidades

Las seis vulnerabilidades que Binarly dice que HP ha dejado sin parchear durante meses son:

  • CVE-2022-23930: desbordamiento de búfer que conduce a la ejecución de código arbitrario. (Puntaje CVSS v3: 8.2 “Alto”)

La falta de validación de los datos de CommBuffer permite que un atacante escriba cualquier búfer de datos controlado y provoque la ejecución de código arbitrario en SMM. 

  • CVE-2022-31644: escritura fuera de los límites en CommBuffer, lo que permite omitir la validación parcial. (Puntuación CVSS v3: 7.5 “Alto”)

Hay dos punteros anidados en un búfer de comunicación enviados al controlador SMI que se presenta a continuación: un puntero a un búfer y un puntero a su tamaño. Se valida que ambos punteros apunten a la SMRAM. Sin embargo, el tamaño del búfer (que se usa para la validación) no se usa más y no se verifica que sea un valor o rango esperado, lo que permite a un posible atacante eludir parcialmente la validación aplicada. 

  • CVE-2022-31645: Escritura fuera de los límites en CommBuffer basada en no verificar el tamaño del puntero enviado al controlador SMI. (Puntaje CVSS v3: 8.2 “Alto”)

Hay un puntero anidado en el búfer de comunicación enviado al controlador SMI a continuación. El puntero se valida, sin embargo, el tamaño del búfer apuntado (que se usa para la validación del puntero) no se verifica para que sea un valor o rango esperado, lo que permite a un posible atacante eludir parcialmente la validación aplicada. Esto conduce a una corrupción de la memoria en SMM como se muestra en la figura a continuación.

  • CVE-2022-31646: escritura fuera de los límites basada en la funcionalidad API de manipulación directa de la memoria, lo que lleva a la elevación de privilegios y la ejecución de código arbitrario. (Puntaje CVSS v3: 8.2 “Alto”).

Vulnerabilidades similares

Esta vulnerabilidad es muy similar a las 2 anteriores. Lo más probable es que las tres vulnerabilidades fueran causadas por prácticas de codificación similares aplicadas por el equipo de desarrollo de firmware. 

  • CVE-2022-31640: validación de entrada incorrecta que otorga a los atacantes el control de los datos de CommBuffer y abre el camino a modificaciones sin restricciones. (Puntuación CVSS v3: 7.5 “Alto”)
  • CVE-2022-31641: vulnerabilidad de llamada en el controlador SMI que conduce a la ejecución de código arbitrario. (Puntuación CVSS v3: 7.5 “Alto”).

Las 2 últimas vulnerabilidades son ejemplos clásicos de vulnerabilidades de llamada de SMM. En cuanto al código vulnerable, ambos casos son muy similares. Los datos de CommBuffer pueden ser controlados por un atacante y, debido a la falta de validación, pueden modificarse. 

Estado de reparación de las vulnerabilidades de seguridad

HP ha publicado tres avisos de seguridad que reconocen las vulnerabilidades mencionadas, junto con una cantidad igual de actualizaciones de BIOS que abordan los problemas de algunos de los modelos afectados.

CVE-2022-23930 se corrigió en todos los sistemas afectados en marzo de 2022. No obstante,no fue corregida en todas las PCs de los clientes.

CVE-2022-31644, CVE-2022-31645 y CVE-2022-31646 recibieron actualizaciones de seguridad el 9 de agosto de 2022. 

Sin embargo, muchas computadoras portátiles comerciales (Elite, Zbook, ProBook), computadoras de escritorio comerciales (ProDesk, EliteDesk, ProOne), sistemas de punto de venta y también estaciones de trabajo HP (Z1, Z2, Z4, Zcentral) aún no han recibido parches. 

CVE-2022-31640 y CVE-2022-31641 recibieron correcciones a lo largo de agosto, y la última actualización llegó el 7 de septiembre de 2022. Sin embargo, muchas estaciones de trabajo HP siguen expuestas sin una corrección oficial. 

Como menciona Binarly, corregir vulnerabilidades de firmware es un gran desafío para un solo proveedor debido a la complejidad de la cadena de suministro de firmware. En otras palabras, muchos clientes de HP tendrán que aceptar el riesgo y aumentar sus medidas de seguridad física.

Nos hemos puesto en contacto con HP para obtener comentarios sobre cuándo se espera que se publiquen las actualizaciones de seguridad para el resto de los modelos afectados. Por lo tanto, actualizaremos esta publicación cuando recibamos una respuesta.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información