HP Enterprise デバイスの6つの深刻な脆弱性が未対応:Binarly 警告

High Severity Vulnerabilities Found in HP Enterprise Devices

2022/09/12 InfoSecurity — Binarly のセキュリティ・リサーチ・チームは、同社が1年の間に発見した、ファームウェアにおける深刻度の高い6つの脆弱性を公開した。Black Hat 2022 カンファレンスで初めて取り上げられた一連の脆弱性は、HP EliteBook デバイスに影響を与えるものであり、Common Vulnerability Scoring System (CVSS) スコアは 7.5〜8.2 となっている。

先週 木曜日の Binarly アドバイザリには、「ファームウェアのインプラントは、攻撃者が永続性を獲得するための最終目標である。攻撃者は、ファームウェアの様々なレベルにおいて、改ざんされた正規のモジュールや、スタンドアロンのドライバーとして、悪意のインプラントをインストールできる」と述べている。


このドキュメントによると、脅威者が非特権者の非システム管理モード (SMM:System Management Mode) ドライバー実行環境 (DXE:Driver Execution Environment) ランタイム・ドライバーや、アプリケーションを標的とすることの影響は過小評価される傾向にあるという。そのため、この種の悪質な DXE ドライバーは、セキュアブートを回避して、追加の起動段階に影響を及ぼす可能性がある。

Binarly は、「多くの場合において、ファームウェアは、サプライチェーンのすべての層とエンドポイントの顧客デバイスの間における、単一の障害である」と述べている。

また、同社は、Black Hat で公開された HP Enterprise の脆弱性の中には、パッチ未適用のものが存在すると警告している。アドバイザリには、「残念ながら、デスクトップ/ノートパソコンなどの一部の HP 製品の脆弱性は、1カ月以上も前に公開されたにもかかわらず、この記事を書いている時点では修正プログラムは公開されていない」と記載されている。

同時に、Binarly は、最新のアドバイザリで取り上げた HP の脆弱性に対する FwHunt ルールを、GitHub リポジトリで公開したと述べている。

同社は、「我々は、防衛担当者や研究パートナーが、これらのルールを使用して、企業インフラ内の脆弱なデバイスを大規模に調査することを推奨する。さらに、これらのルールは、世界中のエンタープライズ環境における、サプライチェーンのセキュリティと意識を高めるために、Linux Vendor Firmware Service (LVFS) に適用されている」と説明している。

Claroty の Team82 が、XIoT デバイスに影響を与える脆弱性の開示数が、2022年上半期に 57%増加したと示しているが、Binarly のアドバイザリーは、その数週間後に発表されている。

HP のファームウェアに関しては、3月8日の「HP が 16 件の UEFI ファームウェア・バグに対応:永続的マルウェア埋め込みの可能性」がありますが、今回の記事で指摘されているのは、8月初旬の Black Hat で公表された脆弱性とのことです。このブログにも、Black Hat 関連の記事が何本かありますが、漏れてしまったようです。よろしければ、Black Hat で検索も、ご利用ください。

%d bloggers like this: