High-Severity UEFI Vulnerabilities Patched in Dell Enterprise Laptops
2022/03/22 SecurityWeek — 3月10日に Dell は、Alienware/Inspiron/Vostro などのノート PC を含む、45機種の UEFI ファームウェア (BIOS の後継) に存在する、SMM の脆弱性5件を修正するパッチを発表した。不適切な入力検証の脆弱性 (CVSS:8.2) CVE-2022-24415/CVE-2022-24416/CVE-2022-24419/CVE-2022-24420/ CVE-2022-24421 により、ローカルで認証された攻撃者は、脆弱なシステム上で任意のコードを実行できると説明されている。
2月中旬より Dell は、ノート PC/エッジ・ゲートウェイ/組み込み型ボックス PC などの、影響を受ける全てのデバイスに対して、UEFI (Unified Extensible Firmware Interface) アップデートを提供するようにしている。そして顧客に対しては、可能な限り早急なアップデートの適用を推奨している。
解決された問題のうち、CVE-2022-24419/CVE-2022-24420/ CVE-2022-24421 の3件は、Binarly のセキュリティ研究者が特定したものだが、これらの欠陥は、2016年に初めて詳述された UsbRt 脆弱性の亜種であることが、今週になって明らかにされた。
Aptiocalypsis と名付けられた UsbRt のバグは、任意の System Management Mode (SMM) コードを実行して、フラッシュ書き込み保護を無効化し、ファームウェアに持続的なバックドアを注入するために悪用される可能性がある。
Aptiocalypsis の脆弱性は、AMI ベースのファームウェアを実行しているデバイスに影響を与えるが、時間の経過とともに、このバグの複数の亜種が確認されている。今回、Dell がパッチを適用したバグは、最初の発見から半世紀以上経過しているものだが、このようなバグにより、現在のデバイスが苦しめられることが証明された。
Binarly は、「今回の問題は、ファームウェアのサプライチェーンの複雑さだけでなく、ファームウェア固有のセキュリティ上の欠陥を特定するための、既存ツールの非効率性も示している。セキュリティ対策の大部分は、十分に構成されていない静的分析ツールを用いるコンプライアンス・チェックリストと、コードベース・スナップ・ショット全体のウイルス対策スキャンを実行することを中心に展開されている。 この根本的な誤解は、コードの複雑さの拡大につながり、デバイスを永続的な露出状態に保つ」と述べられている。
2月2日の「UEFI ファームウェアで発見された 23件の脆弱性:ハードウェア・ベンダー 25社に影響」に記されるように、Dell にも一連の UEFI 脆弱性の影響が生じれています。この発表の後、3月8日の「HP が 16 件の UEFI ファームウェア・バグに対応:永続的マルウェア埋め込みの可能性」にあるように HP が対応を公表し、それに Dell も続いたようです。
IoT OT Security News 