Công ty bảo mật đã thông báo cho HP về lỗ hổng firmware này vào tháng 7 năm 2021 và tháng 4 năm 2022.
Một loạt thiết bị của HP chạy trong môi trường doanh nghiệp chứa tới sáu lỗ hổng bảo mật trong firmware nhưng vẫn chưa được vá, tuy đã được tiết lộ công khai từ tháng 7/2021.
Tại hội nghị Black Hat 2022 vào tháng trước, công ty bảo mật doanh nghiệp Binarly đã tiết lộ sáu lỗ hổng được theo dõi trong một số dòng sản phẩm của HP, bao gồm cả EliteBooks.
![Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm tiết lộ]( "Nhieu may tinh HP chua 6 lo hong firmware, van chua duoc va loi sau mot nam duoc bao cao")
Những lỗ hổng này cho phép tin tặc lây nhiễm mã độc lên thiết bị, giúp mã độc có thể tồn tại lâu dài trên hệ thông. Đây là lý do tại sao các lỗ hổng này được coi là mối nguy hiểm được đánh giá cao.
Binarly cho biết các phát hiện gần đây đều là vấn đề hỏng bộ nhớ SMM (System Management Module) dẫn tới thực thi code tùy ý. Sáu lỗ hổng này nằm trong số 16 mối đe dọa có mức độ nghiêm trọng cao mà Binary đã tiết lộ tại hội nghị. Các nhà phát triển tại HP đã vá 10 bản trong số đó, nhưng những bản còn lại bị "bỏ quên". Hơn nữa, các lỗi này không hoàn toàn mới, các nhà nghiên cứu đã phát hiện ra ba bản vào tháng 7 năm 2021 và ba bản vào tháng 4 năm nay.
![Nhiều máy tính HP chứa 6 lỗ hổng firmware, vẫn chưa được vá lỗi sau một năm tiết lộ]( "Nhieu may tinh HP chua 6 lo hong firmware, van chua duoc va loi sau mot nam duoc bao cao 2")
Sáu lỗ hổng mà Binarly cho biết HP đã không vá trong nhiều tháng gồm:
- CVE-2022-23930: Tràn bộ đệm dựa trên ngăn xếp dẫn tới thực thi code tùy ý, điểm CVSS 8.2.
- CVE-2022-31644: Ghi ngoài giới hạn trên CommBuffer, cho phép bỏ qua một phần xác thực điểm CVSS 7.5.
- CVE-2022-31645: Ghi ngoài giới hạn dựa trên việc không kiểm tra kích thước của con trỏ được gửi đến trình xử lý SMI, điểm CVSS 8.2.
- CVE-2022-31646: Ghi ngoài giới hạn dựa trên chức năng API thao tác bộ nhớ trực tiếp, dẫn tới nâng cao đặc quyền và thực thi code tùy ý, điểm CVSS 8.2
- CVE-2022-31640: Xác thực đầu vào không phù hợp cho phép hacker kiểm soát dữ liệu CommBuffer và mở đường dẫn đến các sửa đổi không hạn chế, điểm CVSS 7.5.
- CVE-2022-31641: Lỗ hổng chú thích trong quá trình xử lý SMI dẫn tới thực thi code tùy ý, điểm CVSS 7.5.
Theo nhận xét của Binarly, việc vá lỗ hổng trên firmware là rất khó khăn do sự phức tạp của chuỗi cung ứng phần mềm. Do đó, nhiều khách hàng của HP sẽ phải chấp nhận rủi ro và tự tăng cường các biện pháp bảo mật vật lý.