HP’nin iş odaklı üst düzey dizüstü bilgisayarlarında ortaya çıkarılan bir dizi ürün yazılımı güvenlik açığı, kamuya açıklandıktan aylar sonra bile bazı cihazlarda yamasız kalmaya devam ediyor.
2022 Ağustos ortasındaki Black Hat ABD konferansında sorunların ayrıntılarını ilk kez açıklayan Binarly, güvenlik açıklarının “Güvenilir Platform Modülü (TPM) ölçümünün sınırlamaları nedeniyle ürün yazılımı bütünlüğü izleme sistemleri tarafından tespit edilemediğini” söyledi.
Ürün yazılımı kusurları, bir cihazda yeniden başlatmalardan kurtulabilecek ve geleneksel işletim sistemi düzeyinde güvenlik korumalarından kaçabilecek şekilde uzun süreli kalıcılık sağlamak için bir düşman tarafından kötüye kullanılabildikleri için ciddi sonuçlar doğurabilir.
Binarly tarafından belirlenen yüksek önem düzeyine sahip zayıflıklar, HP EliteBook aygıtlarını etkiler ve bellenimin Sistem Yönetim Modunda (SMM) bir bellek bozulması durumuyla ilgilidir, böylece en yüksek ayrıcalıklarla rastgele kodun yürütülmesini sağlar –
- CVE-2022-23930 (CVSS puanı: 8.2) – Yığın tabanlı arabellek taşması
- CVE-2022-31640 (CVSS puanı: 7.5) – Yanlış giriş doğrulaması
- CVE-2022-31641 (CVSS puanı: 7.5) – Yanlış giriş doğrulaması
- CVE-2022-31644 (CVSS puanı: 7.5) – Sınır dışı yazma
- CVE-2022-31645 (CVSS puanı: 8.2) – Sınır dışı yazma
- CVE-2022-31646 (CVSS puanı: 8.2) – Sınır dışı yazma
Hatalardan üçü (CVE-2022-23930, CVE-2022-31640 ve CVE-2022-31641) Temmuz 2021’de HP’ye bildirildi ve kalan üç güvenlik açığı (CVE-2022-31644, CVE-2022-31645, ve CVE-2022-31646) Nisan 2022’de raporlanmıştır.
CVE-2022-23930’un aynı zamanda bu Şubat ayının başlarında HP’nin çeşitli kurumsal modellerini etkilediği şeklinde işaretlenen 16 güvenlik açığından biri olduğunu belirtmekte fayda var.
“Ring -2” olarak da adlandırılan SMM, güç yönetimi, donanım kesintileri veya diğer tescilli orijinal ekipman üreticisi (OEM) tarafından tasarlanmış kod gibi sistem çapında işlevleri işlemek için bellenim (yani UEFI) tarafından kullanılan özel amaçlı bir moddur. .
Bu nedenle, SMM bileşeninde tanımlanan eksiklikler, tehdit aktörlerinin işletim sisteminden daha yüksek ayrıcalıklarla hain faaliyetler gerçekleştirmesi için kazançlı bir saldırı vektörü olarak hareket edebilir.
HP, Mart ve Ağustos aylarında kusurları gidermek için güncellemeler yayınlamış olsa da, satıcı, etkilenen tüm modeller için düzeltme eklerini henüz zorlamadı ve bu da müşterileri potansiyel olarak siber saldırı riskine maruz bıraktı.
Binarly, “Birçok durumda ürün yazılımı, tedarik zincirinin tüm katmanları ile uç nokta müşteri cihazı arasında tek bir başarısızlık noktasıdır,” dedi ve “tek bir satıcı için güvenlik açıklarını düzeltmek yeterli değil” dedi.
“Firmware tedarik zincirinin karmaşıklığının bir sonucu olarak, cihaz satıcılarının kontrolü dışındaki sorunları içerdiğinden üretim tarafında kapatılması zor olan boşluklar var.”
Açıklama, geçen hafta PC üreticisinin Support Assistant sorun giderme yazılımında bir ayrıcalık yükseltme kusuru (CVE-2022-38395, CVSS puanı: 8.2) için düzeltmeler yayınlamasıyla da geldi.
Şirket, bir danışma belgesinde “Fusion, HP Performance Tune-up’ı başlattığında bir saldırganın DLL ele geçirme güvenlik açığından yararlanması ve ayrıcalıkları yükseltmesi mümkündür” dedi.